기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# KSK(키 서명 키)로 작업
DNSSEC 서명을 활성화하면 Route 53에서 KSK(키 서명 키)를 생성합니다. Route 53에는 호스팅 영역당 최대 2개의 KSK가 있을 수 있습니다. DNSSEC 서명을 활성화한 후 KSK를 추가, 제거 또는 편집할 수 있습니다.
KSK로 작업할 때는 다음 사항에 유의하세요.
+ KSK를 삭제하려면 먼저 KSK를 편집하여 KSK 상태를 **비활성**으로 설정해야 합니다.
+ 호스팅 영역에 대해 DNSSEC 서명을 사용하면 Route 53가 TTL을 1주일로 제한합니다. 호스팅 영역의 레코드에 대해 TTL을 1주일 이상으로 설정하면 오류가 발생하지 않지만 Route 53에서는 TTL을 1주일로 실행합니다.
+ 영역 중단을 방지하고 도메인을 사용할 수 없게 되는 문제를 방지하려면 DNSSEC 오류에 신속하게 대응하고 해결해야 합니다. `DNSSECInternalFailure` 또는 `DNSSECKeySigningKeysNeedingAction` 오류를 감지할 때마다 알림이 전송되도록 CloudWatch 경보를 설정하는 것이 좋습니다. 자세한 내용은 [Amazon CloudWatch를 사용하여 호스팅 영역 모니터링](monitoring-hosted-zones-with-cloudwatch.md) 섹션을 참조하세요.
+ 이 섹션에서 설명하는 KSK 작업을 통해 영역의 KSK를 대체할 수 있습니다. 자세한 내용 및 단계별 예제에 대해서는 블로그 게시물 [Amazon Route 53로 DNSSEC 서명 및 유효성 검사 구성](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-dnssec-signing-and-validation-with-amazon-route-53/)에서 *DNSSEC 키 교체*를 참조하세요.
에서 KSKs를 사용하려면 다음 섹션의 지침을 AWS Management Console따르세요.
## KSK(키 서명 키) 추가
DNSSEC 서명을 활성화하면 Route 53에서 KSK(키 서명 키)를 생성합니다. KSK를 별도로 추가할 수도 있습니다. Route 53에는 호스팅 영역당 최대 2개의 KSK가 있을 수 있습니다.
KSK를 생성하는 경우 KSK와 함께 사용할 고객 관리형 키를 생성하려면 Route 53를 제공하거나 요청해야 합니다. 고객 관리형 KMS 키를 제공하거나 만드는 경우 몇 가지 요구 사항이 있습니다. 자세한 내용은 [DNSSEC용 고객 관리형 키 작업](dns-configuring-dnssec-cmk-requirements.md) 단원을 참조하십시오.
AWS Management Console에 KSK를 추가하려면 다음 단계를 따르세요.
**KSK를 추가하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **호스팅 영역**을 선택한 후 호스팅 영역을 선택합니다.
1. **KSK(키 서명 키)(Key-signing keys (KSKs))**의 **DNSSEC 서명(DNSSEC signing)** 탭에서 **고급 보기로 전환(Switch to advanced view)**을 선택한 다음 **작업(Actions)**에서 **KSK 추가(Add KSK)**를 선택합니다.
1. **KSK**에 Route 53에서 생성할 KSK의 이름을 입력합니다. 이름에는 숫자, 문자, 밑줄(\_)이 포함될 수 있습니다. 이름은 고유해야 합니다.
1. DNSSEC 서명에 적용되는 고객 관리형 키의 별칭을 입력하거나 Route 53에서 생성할 새 고객 관리형 키의 별칭을 입력합니다.
**참고**
Route 53에서 고객 관리형 키를 만들도록 선택한 경우 고객 관리형 키마다 별도의 요금이 부과됩니다. 자세한 내용은 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/)을 참조하십시오.
1. **KSK 생성**을 선택합니다.
## KSK(키 서명 키) 편집
KSK의 상태를 **활성** 또는 **비활성**으로 편집할 수 있습니다. KSK가 활성화되면 Route 53에서는 DNSSEC 서명에 해당 KSK를 사용합니다. KSK를 삭제하려면 먼저 KSK를 편집하여 KSK 상태를 **비활성**으로 설정해야 합니다.
AWS Management Console에 KSK를 추가하려면 다음 단계를 따르세요.
**태그를 편집하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **호스팅 영역**을 선택한 후 호스팅 영역을 선택합니다.
1. **DNSSEC 서명(DNSSEC signing)** 탭의 **KSK(키 서명 키)(Key-signing keys (KSKs))**에서 **고급 보기로 전환(Switch to advanced view)**을 선택한 다음, **작업(Actions)**에서 **KSK 편집(Edit KSK)**을 선택합니다.
1. KSK를 원하는 대로 업데이트한 다음 **저장**을 선택합니다.
## KSK(키 서명 키) 삭제
KSK를 삭제하려면 먼저 KSK를 편집하여 KSK 상태를 **비활성**으로 설정해야 합니다.
KSK를 삭제할 수 있는 이유 중 하나는 일상적인 키 교체의 일부이기 때문입니다. 암호화 키를 주기적으로 교체하는 것이 가장 좋습니다. 조직에 키를 교체하는 빈도에 대한 표준 지침이 있을 수 있습니다.
AWS Management Console에서 KSK를 삭제하려면 다음 단계를 따르세요.
**KSK를 삭제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) Route 53 콘솔을 엽니다.
1. 탐색 창에서 **호스팅 영역**을 선택한 후 호스팅 영역을 선택합니다.
1. **KSK(키 서명 키)(Key-signing keys (KSKs))**의 **DNSSEC 서명(DNSSEC signing)** 탭에서 **고급 보기로 전환(Switch to advanced view)**을 선택한 다음, **작업(Actions)**에서 **KSK 삭제(Delete KSK)**을 선택합니다.
1. 지침에 따라 KSK 삭제를 확인합니다.