Route 53 中的 KMS 密钥和 ZSK 管理 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Route 53 中的 KMS 密钥和 ZSK 管理

本节介绍 Route 53 用于启用 DNSSEC 签名的区域的当前做法。

注意

Route 53 将使用以下规则(可能更改)。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。

Route 53 如何使用与您的 KSK 关联的 Amazon KMS

在 DNSSEC 中,KSK 用于为 DNSKEY 资源记录集生成资源记录签名(RRSIG)。全部 ACTIVE KSK 都在 RRSIG 生成中使用。Route 53 通过调用关联的 KMS 密钥上的 Sign Amazon KMS API 生成 RRSIG。有关更多信息,请参阅 Amazon KMS API 参考指南中的签名。这些 RRSIG 不计入区域的资源记录集限制。

RRSIG 拥有过期期限。为了防止 RRSIGS 过期,每隔一到七天会重新生成 RSIGS 以实现定期刷新。

每次调用以下任何 API 时,RRSIGS 也会刷新:

每次 Route 53 执行刷新时,我们都会生成 15 个 RRSIGS,以便在关联的 KMS 密钥无法访问的情况下维持数天的运行。对于 KMS 密钥成本估算,您可以假设每天定期刷新一次。无意中对 KMS 密钥策略进行更改可能导致无法访问 KMS 密钥。无法访问的 KMS 密钥会将关联的 KSK 状态设置为 ACTION_NEEDED。我们强烈建议您在检测到 DNSSECKeySigningKeysNeedingAction 错误时设置 CloudWatch 告警来监控此条件,因为验证解析程序将在最后一个 RRSIG 过期后开始查找失败。有关更多信息,请参阅使用 Amazon CloudWatch 监控托管区域

Route 53 如何管理区域的 ZSK

每个启用 DNSSEC 签名的新托管区域都将有一个 ACTIVE 区域签名密钥(ZSK)。ZSK 是为每个托管区域单独生成的,为 Route 53 所有。当前的密钥算法是 ECDSAP256SHA256。

我们将在签名开启后的 7—30 天内开始在该区域进行定期 ZSK 转动。目前,Route 53 使用“发布前密钥滚动”方法。有关更多信息,请参阅发布前区域签名密钥滚动。这种方法将向该区域引入另一个 ZSK。转动将每 7-30 天重复一次。

如果该区域的 KSK 处于 ACTION_NEEDED 状态,则 Route 53 将暂停 ZSK 转动,因为 Route 53 将无法为 DNSKEY 资源记录集重新生成 RRSIG 以解释区域 ZSK 的变化。清除条件后,ZSK 转动将自动恢复。