使用密钥签名密钥 (KSK) - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用密钥签名密钥 (KSK)

启用 DNSSEC 签名后,Route 53 会为您创建密钥签名密钥 (KSK)。您最多可以在 Route 53 中拥有最多两台 KSK。启用 DNSSEC 签名后,您可以添加、删除或编辑 KSK。

在您使用 KSK 时注意以下事项:

  • 在删除 KSK 之前,您必须编辑 KSK 以将其状态设置为非活动.

  • 当为托管区域启用 DNSSEC 签名时,Route 53 将 TTL 限制为一周。如果将托管区域中的记录的 TTL 设置为超过一周,则不会出现错误,但 Route 53 强制执行一周的 TTL。

  • 为了帮助防止区域中断并避免域变得不可用的问题,您必须快速解决和解决 DNSSEC 错误。我们强烈建议您设置 CloudWatch 警报,以便在DNSSECInternalFailure或者DNSSECKeySigningKeysNeedingAction检测到错误。有关更多信息,请参阅 使用 Amazon CloudWatch 监控托管区域

  • 本节中描述的 KSK 操作允许您旋转区域的 KSK。有关更多信息和分步示例,请参阅DNSSEC 密钥轮换在博客帖子使用 Amazon Route 53 配置 DNSSEC 签名和验证.

要使用Amazon Web Services Management Console,请按照以下各节中的指导操作。

添加密钥签名密钥 (KSK)

启用 DNSSEC 签名时,Route 53 会为您创建密钥签名 (KSK)。您还可以单独添加 KSK。您最多可以在 Route 53 中拥有最多两台 KSK。

创建 KSK 时,您必须提供或请求 Route 53 以创建用于 KSK 的客户管理 CMK。当您提供或创建客户管理的 CMK 时,有几个要求。有关更多信息,请参阅 使用用于 DNSSEC 的客户管理 CMK

请按照以下步骤添加 KSKAmazon Web Services Management Console.

添加 KSK

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择托管区域。

  3. 在存储库的DNSSEC 登录选项卡,在密钥签名密钥 (KSK)中,选择切换到高级视图,然后在操作中,选择添加 KSK.

  4. UNDERKSK中,输入 Route 53 将为您创建的 KSK 的名称。名称可包括数字、字母和下划线 (_)。它必须是唯一的。

  5. 输入适用于 DNSSEC 签名的客户管理 CMK 的别名,或输入 Route 53 将为您创建的新客户管理 CMK 的别名。

    注意

    如果您选择让 Route 53 创建一个客户管理的 CMK,请注意,每个客户管理的 CMK 都会收取单独的费用。有关更多信息,请参阅 Amazon Key Management Service 定价

  6. 选择创建 KSK.

编辑密钥签名密钥 (KSK)

您可以将 KSK 的状态编辑为处于活动状态或者非活动. 当 KSK 处于活动状态时,Route 53 将使用该 KSK 进行 DNSSEC 签名。在删除 KSK 之前,您必须编辑 KSK 以将其状态设置为非活动.

按照以下步骤来编辑 KSKAmazon Web Services Management Console.

编辑 KSK

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择托管区域。

  3. 在存储库的DNSSEC 登录选项卡,在密钥签名密钥 (KSK)中,选择切换到高级视图,然后、UNDER操作中,选择编辑 KSK.

  4. 对 KSK 进行所需的更新,然后选择Save.

删除密钥签名密钥 (KSK)

在删除 KSK 之前,您必须编辑 KSK 以将其状态设置为非活动.

您可能删除 KSK 的原因之一是例行密钥轮换的一部分。定期轮换加密密钥是最佳做法。您的组织可能有关于轮换密钥频率的标准指导。

按照以下步骤删除 KSKAmazon Web Services Management Console.

删除 KSK

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择托管区域。

  3. 在存储库的DNSSEC 登录选项卡,在密钥签名密钥 (KSK)中,选择切换到高级视图,然后在操作中,选择删除 KSK.

  4. 按照指导确认删除 KSK。