本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Route 53 中的 KMS 密钥和 ZSK 管理 本节介绍 Route 53 用于启用 DNSSEC 签名的区域的当前做法。 **注意** Route 53 将使用以下规则(可能更改)。未来的任何更改都不会降低您的区域或 Route 53 的安保状况。 **Route 53 如何使用与你的 KSK AWS KMS 关联的** 在 DNSSEC 中,KSK 用于为 DNSKEY 资源记录集生成资源记录签名(RRSIG)。所有这些`ACTIVE` KSKs 都用在 RRSIG 生成中。Route 53 通过在关联的 KMS 密钥上调用 `Sign` AWS KMS API 来生成 RRSIG。有关更多信息,请参阅 *AWS KMS API 参考指南*中的[签名](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)。这些 RRSIGs不计入区域的资源记录集限制。 RRSIG 拥有过期期限。为防止过期,每隔一 RRSIGs 到 RRSIGs 七天对其进行一次再生,从而定期刷新。 每次您拨打 RRSIGs 以下任一电话时,也会刷新: APIs + [ActivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ActivateKeySigningKey.html) + [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html) + [DeactivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeactivateKeySigningKey.html) + [DeleteKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteKeySigningKey.html) + [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) + [EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html) 每次 Route 53 执行刷新时,我们都会生成 15 个刷新 RRSIGs 以覆盖接下来的几天,以防关联的 KMS 密钥无法访问。对于 KMS 密钥成本估算,您可以假设每天定期刷新一次。无意中对 KMS 密钥策略进行更改可能导致无法访问 KMS 密钥。无法访问的 KMS 密钥会将关联的 KSK 状态设置为 `ACTION_NEEDED`。我们强烈建议您在检测到`DNSSECKeySigningKeysNeedingAction`错误时通过设置 CloudWatch 警报来监控这种情况,因为验证解析器将在最后一个 RRSIG 到期后开始失败查找。有关更多信息,请参阅 [使用 Amazon 监控托管区域 CloudWatch](monitoring-hosted-zones-with-cloudwatch.md)。 **Route 53 如何管理区域的 ZSK** 每个启用 DNSSEC 签名的新托管区域都将有一个 `ACTIVE` 区域签名密钥(ZSK)。ZSK 是为每个托管区域单独生成的,为 Route 53 所有。当前的密钥算法是 ECDSAP256SHA256。 我们将在签名开启后的 7—30 天内开始在该区域进行定期 ZSK 转动。目前,Route 53 使用“发布前密钥滚动”方法。有关更多信息,请参阅[发布前区域签名密钥滚动](https://datatracker.ietf.org/doc/html/rfc6781#section-4.1.1.1)。这种方法将向该区域引入另一个 ZSK。转动将每 7-30 天重复一次。 如果该区域的任何一个 KSK `ACTION_NEEDED` 处于状态,Route 53 将暂停 ZSK 轮换,因为 Route 53 将无法重新生成 for DNSKEY 资源记录集以应对该区域 ZSK 的变化。 RRSIGs 清除条件后,ZSK 转动将自动恢复。