本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Route 53 中的 KMS 金鑰和 ZSK 管理 本節說明目前 Route 53 用於已啟用 DNSSEC 簽署的區域的做法。 **注意** Route 53 使用以下可能會變更的規則。將來的任何變更都不會降低您區域或 Route 53 的安全狀態。 **Route 53 如何使用與您的 KSK AWS KMS 相關聯的** 在 DNSSEC 中,KSK 用於生成 DNSKEY 資源紀錄集的資源紀錄簽名 (RRSIG)。All `ACTIVE` KSK 均用於生成 RRSIG。Route 53 會透過呼叫相關聯 KMS 金鑰上的 `Sign` AWS KMS API 來產生 RRSIG。如需詳細資訊,請參閱《AWS KMS API 指南》**中的[簽署](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)。這些 RRSIG 不會計入區域的資源紀錄集限制。 RRSIG 會過期。為防止 RRSIG 過期,會每一到七天再生成一次 RRSIG 以定期對其進行重新整理。 每次呼叫以下任一項 API 時,也會重新整理 RRSIG: + [ActivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ActivateKeySigningKey.html) + [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html) + [DeactivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeactivateKeySigningKey.html) + [DeleteKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteKeySigningKey.html) + [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) + [EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html) 每次 Route 53 執行重新整理時,我們都會生成 15 個 RRSIG 來確保未來幾天的可用性,以防相關聯的 KMS 金鑰變得無法存取。在估計 KMS 金鑰成本時,您可以假定每天定期重新整理一次。KMS 金鑰政策的意外變更,可能會讓 KMS 金鑰變得無法存取。無法存取的 KMS 金鑰會將關聯的 KSK 狀態設定為 `ACTION_NEEDED`。我們強烈建議您藉由設定 CloudWatch 警示來監控此情況 (只要偵測到 `DNSSECKeySigningKeysNeedingAction` 錯誤時),因為驗證解析程式將在最後一個 RRSIG 過期後開始無法查找。如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控託管區域](monitoring-hosted-zones-with-cloudwatch.md)。 **Route 53 如何管理您區域的 ZSK** 啟用 DNSSEC 簽署的每個新託管區域均有一個 `ACTIVE` 區域簽署金鑰 (ZSK)。ZSK 由每個託管區域單獨生成,並為 Route 53 所有。目前的金鑰演算法是 ECDSAP256SHA256。 我們將在簽署開始後的 7-30 天內,開始對區域執行定期 ZSK 輪換。目前,Route 53 使用發佈前金鑰滾動法。如需詳細資訊,請參閱[發佈前區域簽署金鑰滾動法](https://datatracker.ietf.org/doc/html/rfc6781#section-4.1.1.1)。此方法會將另一個 ZSK 帶至該區域。輪換將每 7-30 天重複一次。 如果區域的任何 KSK 處於 `ACTION_NEEDED` 狀態,Route 53 將暫停 ZSK 輪換,因為 Route 53 無法重新生成 DNSKEY 資源紀錄集的 RRSIG,以考慮區域 ZSK 中的變更。情況解除後,ZSK 輪換將自動恢復。