使用密钥签名密钥 (KSK) - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用密钥签名密钥 (KSK)

启用 DNSSEC 签名时,Route 53 会为您创建密钥签名密钥 (KSK)。在 Route 53 中,每个托管区域最多可以拥有两个 KSK。启用 DNSSEC 签名后,您可以添加、删除或编辑 KSK。

当您使用 KSK 时,请注意以下事项:

  • 在删除 KSK 之前,您必须编辑 KSK 以将其状态设置为 Inactive(非活动)。

  • 当为托管区域启用 DNSSEC 签名时,Route 53 会将 TTL 限制为一周。如果将托管区域中记录的 TTL 设置为超过一周,则不会出现错误,但 Route 53 会强制执行一周的 TTL。

  • 为了帮助防止区域中断并避免域变得不可用的问题,您必须快速解决和处理 DNSSEC 错误。强烈建议您设置 CloudWatch 告警,在检测到 DNSSECInternalFailure 或者 DNSSECKeySigningKeysNeedingAction 错误时向您发出提示。有关更多信息,请参阅使用 Amazon CloudWatch 监控托管区域

  • 本部分中描述的 KSK 操作允许您转动区域的 KSK。有关更多信息和分步示例,请参阅使用 Amazon Route 53 配置 DNSSEC 签名和验证博客贴文中的 DNSSEC 密钥轮换

要在 Amazon Web Services Management Console 中使用 KSK,请按照以下各部分中的指导操作。

添加密钥签名密钥 (KSK)

启用 DNSSEC 签名时,Route 53 会为您创建密钥签名密钥 (KSK)。您还可以单独添加 KSK。在 Route 53 中,每个托管区域最多可以拥有两个 KSK。

创建 KSK 时,您必须提供或请求 Route 53 以创建用于 KSK 的客户托管密钥。当您提供或创建客户托管密钥时,有几个要求。有关更多信息,请参阅使用适用于 DNSSEC 的客户托管密钥

请按照以下步骤在 Amazon Web Services Management Console 中添加 KSK。

要添加 KSK

  1. 请登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域),然后选择一个托管区域。

  3. DNSSEC signing(DNSSEC 签名)选项卡的 Key-signing keys (KSK)(密钥签名密钥 (KSK))中,选择 Switch to advanced view(切换到高级视图),然后在 Actions(操作)项下,选择 Add KSK(添加 KSK)。

  4. KSK 项下,输入 Route 53 将为您创建的 KSK 的名称。名称只能包含字母、数字和下划线 (_)。此名称必须唯一。

  5. 输入适用于 DNSSEC 签名的客户托管密钥的别名,或输入 Route 53 将为您创建的新客户托管密钥的别名。

    注意

    如果您选择让 Route 53 创建客户托管密钥,请注意,每个客户托管密钥都会单独收取费用。有关更多信息,请参阅Amazon Key Management Service定价

  6. 选择 Create KSK(创建 KSK)。

编辑密钥签名密钥 (KSK)

您可以将 KSK 的状态编辑为 Active(活动)或者 Inactive(非活动)。当 KSK 处于活动状态时,Route 53 将使用该 KSK 进行 DNSSEC 签名。在删除 KSK 之前,您必须编辑 KSK 以将其状态设置为 Inactive(非活动)。

按照以下步骤在 Amazon Web Services Management Console 中编辑 KSK。

要编辑 KSK

  1. 请登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域),然后选择一个托管区域。

  3. DNSSEC signing(DNSSEC 签名)选项卡的 Key-signing keys (KSK)(密钥签名密钥 (KSK))中,选择 Switch to advanced view(切换到高级视图),然后在 Actions(操作)下,选择 Edit KSK(编辑 KSK)。

  4. 对 KSK 进行所需的更新,然后选择 Save(保存)。

删除密钥签名密钥 (KSK)

在删除 KSK 之前,您必须编辑 KSK 以将其状态设置为 Inactive(非活动)。

您可能删除 KSK 的原因之一是例行密钥转动的一部分。定期转动加密密钥是最佳实践。您的组织可能有关于转动密钥频率的标准指导。

请按照以下步骤在 Amazon Web Services Management Console 中删除 KSK。

要删除 KSK

  1. 请登录 Amazon Web Services Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域),然后选择一个托管区域。

  3. DNSSEC signing(DNSSEC 签名)选项卡的 Key-signing keys (KSK)(密钥签名密钥 (KSK))中,选择 Switch to advanced view(切换到高级视图),然后在 Actions(操作)项下,选择 Delete KSK(删除 KSK)。

  4. 按照指导确认删除 KSK。