Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
KMS-Schlüssel- und ZSK-Verwaltung in Route 53
In diesem Abschnitt wird die aktuelle Vorgehensweise beschrieben, die Route 53 für Ihre Zonen mit aktivierter DNSSEC-Signatur verwendet.
Anmerkung
Route 53 verwendet die folgende Regel, die sich ändern könnte. Alle zukünftigen Änderungen werden die Sicherheitslage Ihrer Zone oder die von Route 53 nicht beeinträchtigen.
- Wie verwendet Route 53 die mit Ihrem KSK verknüpften AWS KMS
In DNSSEC wird der KSK verwendet, um die Ressourceneintragssignatur (RRSIG) für den DNSKEY-Ressourcendatensatz zu generieren. Alle
ACTIVEKSKs werden in der RRSIG-Generation verwendet. Route 53 generiert eine RRSIG, indem sie dieSignAWS KMS API für den zugehörigen KMS-Schlüssel aufruft. Weitere Informationen finden Sie unter Signieren im AWS KMS -API-Handbuch. Diese werden RRSIGs nicht auf das in der Zone festgelegte Limit für Ressourceneinträge angerechnet.Ein RRSIG läuft ab. Um zu verhindern, dass sie ablaufen, RRSIGs werden sie regelmäßig aktualisiert, indem sie alle ein bis sieben Tage erneuert werden. RRSIGs
Sie RRSIGs werden außerdem jedes Mal aktualisiert, wenn Sie einen der folgenden Befehle aufrufen: APIs
Jedes Mal, wenn Route 53 eine Aktualisierung durchführt, generieren wir 15 für die nächsten Tage, falls RRSIGs auf den zugehörigen KMS-Schlüssel nicht mehr zugegriffen werden kann. Für die Schätzung der KMS-Schlüsselkosten können Sie von einer regulären Aktualisierung am Tag ausgehen. Ein KMS-Schlüssel könnte durch versehentliche Änderungen der KMS-Schlüsselrichtlinie unzugänglich werden. Der unzugängliche KMS-Schlüssel setzt den Status des zugehörigen KSK auf
ACTION_NEEDED. Es wird dringend empfohlen, diesen Zustand zu überwachen, indem Sie bei jedem erkanntenDNSSECKeySigningKeysNeedingActionFehler einen CloudWatch Alarm einrichten, da bei validierenden Resolvern die Suche nach Ablauf der letzten RRSIG fehlschlägt. Weitere Informationen finden Sie unter Überwachung von Hosting-Zonen mit Amazon CloudWatch.- Wie Route 53 den ZSK Ihrer Zone verwaltet
Jede neue gehostete Zone mit aktivierter DNSSEC-Signatur hat einen
ACTIVEZonensignaturschlüssel (ZSK). Der ZSK wird für jede gehostete Zone separat generiert und gehört Route 53. Der aktuelle Schlüsselalgorithmus ist. ECDSAP256 SHA256Wir werden innerhalb von sieben bis 30 Tagen nach Beginn der Signatur eine regelmäßige ZSK-Rotation in der Zone durchführen. Derzeit verwendet Route 53 die Methode „Schlüssel-Rollover vor der Veröffentlichung“. Weitere Informationen finden Sie unter Zonensignaturschlüssel-Rollover vor der Veröffentlichung
. Diese Methode führt einen anderen ZSK in die Zone ein. Die Rotation wird alle sieben bis 30 Tage wiederholt. Route 53 unterbricht die ZSK-Rotation, wenn sich ein KSK der Zone im
ACTION_NEEDEDStatus befindet, weil Route 53 nicht in der Lage sein wird, die Ressourcendatensätze RRSIGs für DNSKEY neu zu generieren, um den Änderungen im ZSK der Zone Rechnung zu tragen. Die ZSK-Rotation wird automatisch fortgesetzt, nachdem die Bedingung gelöscht wurde.
