本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 DNSSEC 的客戶受管金鑰
<a name="dns-configuring-dnssec-cmk-requirements"></a>

當您在 Amazon Route 53 中啟用 DNSSEC 簽署時，Route 53 會為您建立金鑰簽署金鑰 (KSK)。若要建立 KSK，Route 53 必須使用 AWS Key Management Service 支援 DNSSEC 的客戶受管金鑰。本節說明客戶受管金鑰的詳細資料和要求，這些金鑰在您使用 DNSSEC 時很有幫助。

當您使用 DNSSEC 的客戶受管金鑰時，請謹記以下幾點：
+ 與 DNSSEC 簽署一起使用的客戶受管金鑰必須位於美國東部 (維吉尼亞北部) 區域。
+ 客戶受管金鑰必須是具有 [ECC\$1NIST\$1P256 金鑰規格](https://docs.aws.amazon.com//kms/latest/developerguide/asymmetric-key-specs.html#key-spec-ecc)的[非對稱客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#asymmetric-cmks)。這些客戶受管金鑰僅用於簽署和驗證。如需建立非對稱客戶受管金鑰的說明，請參閱《 AWS Key Management Service 開發人員指南》中的[建立非對稱客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-asymmetric-cmk)。如需尋找現有客戶受管金鑰的密碼編譯組態的說明，請參閱《 AWS Key Management Service 開發人員指南》中的[檢視客戶受管金鑰的密碼編譯組態](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-crypto-config.html)。
+ 如果您自行建立客戶受管金鑰，以便在 Route 53 中搭配 DNSSEC 使用，則必須包含讓 Route 53 具有必要許可的特定金鑰政策陳述式。Route 53 必須能夠存取您的客戶受管金鑰，以便為您建立 KSK。如需詳細資訊，請參閱[DNSSEC 簽署需要 Route 53 客戶受管金鑰許可](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC)。
+ Route 53 可以在 中建立客戶受管金鑰 AWS KMS ，以搭配 DNSSEC 簽署使用，而無需其他 AWS KMS 許可。但是，如果您想要在建立金鑰後對其進行編輯，則必須具有特定的許可。您必須擁有的特定許可如下：`kms:UpdateKeyDescription`、`kms:UpdateAlias` 以及 `kms:PutKeyPolicy`。
+ 請注意，無論是您自己建立客戶受管金鑰，還是 Route 53 為您建立金鑰，都會針對您擁有的每個客戶受管金鑰收取個別費用。如需詳細資訊，請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。