Administración de claves KMS y ZSK en Route 53 - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de claves KMS y ZSK en Route 53

En esta sección se describe la práctica actual que Route 53 utiliza para las zonas habilitadas para la firma de DNSSEC.

nota

Route 53 utiliza la siguiente regla que podría cambiar. Cualquier cambio futuro no reducirá la posición de seguridad de su zona ni de Route 53.

Cómo usa Route 53 lo asociado a tu KSK AWS KMS

En DNSSEC, la KSK se utiliza para generar la firma de registro de recursos (RRSIG) del conjunto de registros de recursos DNSKEY. Todos ACTIVE KSKs se utilizan en la generación RRSIG. Route 53 genera un RRSIG llamando a la Sign AWS KMS API en la clave KMS asociada. Para obtener más información, consulte Sign (Firmar) en la Guía de la API de AWS KMS . RRSIGsNo se tienen en cuenta para el límite establecido de registros de recursos de la zona.

RRSIG tiene fecha de vencimiento. Para evitar que caduquen, se RRSIGs actualizan periódicamente regenerándolos cada uno a siete días. RRSIGs

También RRSIGs se actualizan cada vez que llamas a cualquiera de las siguientes opciones: APIs

Cada vez que Route 53 realiza una actualización, generamos 15 RRSIGs para cubrir los próximos días en caso de que no se pueda acceder a la clave KMS asociada. Para la estimación del costo de la clave KMS, puede basarse en una actualización periódica una vez al día. Es posible que no se pueda acceder a una clave KMS debido a cambios involuntarios en la política de claves de KMS. La clave KMS inaccesible establecerá el estado de la KSK asociada en ACTION_NEEDED. Le recomendamos encarecidamente que supervise esta situación configurando una CloudWatch alarma cada vez que se detecte un DNSSECKeySigningKeysNeedingAction error, ya que al validar las resoluciones, las búsquedas comenzarán a fallar cuando caduque la última RRSIG. Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.

Cómo administra Route 53 la ZSK de su zona

Cada nueva zona alojada con firma DNSSEC habilitada tendrá una clave de firma de zona (ZSK) ACTIVE. La ZSK se genera por separado para cada zona alojada y es propiedad de Route 53. El algoritmo clave actual es. ECDSAP256 SHA256

Comenzaremos a realizar una rotación ZSK regular en la zona en un plazo de 7 a 30 días desde el inicio de la firma. En la actualidad, Route 53 utiliza el método de transferencia de claves previa a la publicación. Para obtener más información, consulte Pre-Publish Zone Signing Key Rollover (Transferencia de claves de firma de zona previa a la publicación). Este método introducirá otra ZSK en la zona. La rotación se repetirá cada 7 a 30 días.

La Ruta 53 suspenderá la rotación de la ZSK si alguna de las KSK de la zona está en ACTION_NEEDED estado, ya que la Ruta 53 no podrá regenerar los conjuntos de registros de recursos de DNSKEY RRSIGs para tener en cuenta los cambios en la ZSK de la zona. La rotación de ZSK se reanudará automáticamente después de que se haya borrado la condición.