本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Route 53 中的 KMS 密钥和 ZSK 管理
本节介绍 Route 53 用于启用 DNSSEC 签名的区域的当前做法。
注意
Route 53 将使用以下规则(可能更改)。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。
- Route 53 如何使用与你的 KSK Amazon KMS 关联的
在 DNSSEC 中,KSK 用于为 DNSKEY 资源记录集生成资源记录签名(RRSIG)。全部
ACTIVEKSK 都在 RRSIG 生成中使用。Route 53 通过在关联的 KMS 密钥上调用SignAmazon KMS API 来生成 RRSIG。有关更多信息,请参阅 Amazon KMS API 参考指南中的签名。这些 RRSIG 不计入区域的资源记录集限制。RRSIG 拥有过期期限。为了防止 RRSIGS 过期,每隔一到七天会重新生成 RSIGS 以实现定期刷新。
每次调用以下任何 API 时,RRSIGS 也会刷新:
每次 Route 53 执行刷新时,我们都会生成 15 个 RRSIGS,以便在关联的 KMS 密钥无法访问的情况下维持数天的运行。对于 KMS 密钥成本估算,您可以假设每天定期刷新一次。无意中对 KMS 密钥策略进行更改可能导致无法访问 KMS 密钥。无法访问的 KMS 密钥会将关联的 KSK 状态设置为
ACTION_NEEDED。我们强烈建议您在检测到DNSSECKeySigningKeysNeedingAction错误时通过设置 CloudWatch 警报来监控这种情况,因为验证解析器将在最后一个 RRSIG 到期后开始失败查找。有关更多信息,请参阅 使用 Amazon 监控托管区域 CloudWatch。- Route 53 如何管理区域的 ZSK
每个启用 DNSSEC 签名的新托管区域都将有一个
ACTIVE区域签名密钥(ZSK)。ZSK 是为每个托管区域单独生成的,为 Route 53 所有。当前的密钥算法是 ECDSAP256SHA256。我们将在签名开启后的 7—30 天内开始在该区域进行定期 ZSK 转动。目前,Route 53 使用“发布前密钥滚动”方法。有关更多信息,请参阅发布前区域签名密钥滚动
。这种方法将向该区域引入另一个 ZSK。转动将每 7-30 天重复一次。 如果该区域的 KSK 处于
ACTION_NEEDED状态,则 Route 53 将暂停 ZSK 转动,因为 Route 53 将无法为 DNSKEY 资源记录集重新生成 RRSIG 以解释区域 ZSK 的变化。清除条件后,ZSK 转动将自动恢复。