本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用密钥签名密钥 () KSKs
<a name="dns-configuring-dnssec-ksk"></a>

启用 DNSSEC 签名时，Route 53 会为您创建密钥签名密钥 (KSK)。在 Route 53 中， KSKs 每个托管区域最多可以有两个。启用 DNSSEC 签名后，您可以添加、删除或编辑您的。 KSKs

使用您的设备时，请注意以下几点 KSKs：
+ 在删除 KSK 之前，您必须编辑 KSK 以将其状态设置为 **Inactive**（非活动）。
+ 当为托管区域启用 DNSSEC 签名时，Route 53 会将 TTL 限制为一周。如果将托管区域中记录的 TTL 设置为超过一周，则不会出现错误，但 Route 53 会强制执行一周的 TTL。
+ 为了帮助防止区域中断并避免域变得不可用的问题，您必须快速解决和处理 DNSSEC 错误。我们强烈建议您设置 CloudWatch 警报，在检测到`DNSSECInternalFailure`或`DNSSECKeySigningKeysNeedingAction`错误时提醒您。有关更多信息，请参阅 [使用 Amazon 监控托管区域 CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)。
+ 本节中描述的 KSK 操作允许您轮换区域。 KSKs有关更多信息和 step-by-step示例，请参阅博客文章[使用 Amazon Route 53 配置 DNSSEC 签名和验证中的 DNSSEC](https://www.amazonaws.cn/blogs/networking-and-content-delivery/configuring-dnssec-signing-and-validation-with-amazon-route-53/) *密钥轮换*。

要 KSKs 在中使用 Amazon Web Services 管理控制台，请按照以下各节中的指导进行操作。

## 添加密钥签名密钥 (KSK)
<a name="dns-configuring-dnssec-ksk-add-ksk"></a>

启用 DNSSEC 签名时，Route 53 会为您创建密钥签名密钥 (KSK)。您也可以 KSKs 单独添加。在 Route 53 中， KSKs 每个托管区域最多可以有两个。

创建 KSK 时，您必须提供或请求 Route 53 以创建用于 KSK 的客户托管密钥。当您提供或创建客户托管密钥时，有几个要求。有关更多信息，请参阅 [使用适用于 DNSSEC 的客户托管密钥](dns-configuring-dnssec-cmk-requirements.md)。

请按照以下步骤在 Amazon Web Services 管理控制台中添加 KSK。<a name="dns-configuring-dnssec-ksk-add-ksk-procedure"></a>

**要添加 KSK**

1. 登录 Amazon Web Services 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.amazonaws.cn/route53/)。

1. 在导航窗格中，选择 **Hosted zones**（托管区域），然后选择一个托管区域。

1. **在 **DNSSEC 签名**选项卡的密**钥签名密钥 (KSKs)** 下，选择**切换到高级视图**，然后在**操作**下选择添加 KSK。**

1. 在 **KSK** 项下，输入 Route 53 将为您创建的 KSK 的名称。名称只能包含字母、数字和下划线 (\$1)。此名称必须唯一。

1. 输入适用于 DNSSEC 签名的客户托管密钥，或输入 Route 53 将为您创建的新客户托管密钥的别名。
**注意**  
如果您选择让 Route 53 创建客户托管密钥，请注意，每个客户托管密钥都会单独收取费用。有关更多信息，请参阅[Amazon Key Management Service 定价](https://www.amazonaws.cn/kms/pricing/)。

1. 选择 **Create KSK**（创建 KSK）。

## 编辑密钥签名密钥 (KSK)
<a name="dns-configuring-dnssec-ksk-edit-ksk"></a>

您可以将 KSK 的状态编辑为 **Active**（活动）或者 **Inactive**（非活动）。当 KSK 处于活动状态时，Route 53 将使用该 KSK 进行 DNSSEC 签名。在删除 KSK 之前，您必须编辑 KSK 以将其状态设置为 **Inactive**（非活动）。

按照以下步骤在 Amazon Web Services 管理控制台中编辑 KSK。<a name="dns-configuring-dnssec-ksk-edit-ksk-procedure"></a>

**要编辑 KSK**

1. 登录 Amazon Web Services 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.amazonaws.cn/route53/)。

1. 在导航窗格中，选择 **Hosted zones**（托管区域），然后选择一个托管区域。

1. **在 **DNSSEC 签名**选项卡的密**钥签名密钥 (KSKs)** 下，选择**切换到高级视图**，然后在**操作**下选择编辑 KSK。**

1. 对 KSK 进行所需的更新，然后选择 **Save**（保存）。

## 删除密钥签名密钥 (KSK)
<a name="dns-configuring-dnssec-ksk-delete-ksk"></a>

在删除 KSK 之前，您必须编辑 KSK 以将其状态设置为 **Inactive**（非活动）。

您可能删除 KSK 的原因之一是例行密钥转动的一部分。定期转动加密密钥是最佳实践。您的组织可能有关于转动密钥频率的标准指导。

请按照以下步骤在 Amazon Web Services 管理控制台中删除 KSK。<a name="dns-configuring-dnssec-ksk-delete-ksk-procedure"></a>

**要删除 KSK**

1. 登录 Amazon Web Services 管理控制台 并打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.amazonaws.cn/route53/)。

1. 在导航窗格中，选择 **Hosted zones**（托管区域），然后选择一个托管区域。

1. **在 **DNSSEC 签名**选项卡的密**钥签名密钥 (KSKs)** 下，选择**切换到高级视图**，然后在**操作**下选择删除 KSK。**

1. 按照指导确认删除 KSK。