本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用金鑰簽署金鑰 (KSK)
<a name="dns-configuring-dnssec-ksk"></a>

當您啟用 DNSSEC 簽署時，Route 53 會為您建立金鑰簽署金鑰 (KSK)。在 Route 53 中，每個託管區域中最多可擁有兩個 KSK。啟用 DNSSEC 簽署之後，您可以新增、移除或編輯您的 KSK。

當您使用 KSK 時，請注意下列事項：
+ 在刪除 KSK 之前，您必須先編輯 KSK，將其狀態設定為 **Inactive (非作用中)**。
+ 為託管區域啟用 DNSSEC 簽署時，Route 53 會將 TTL 限制為一週。如果您將託管區域中記錄的 TTL 設定為一週以上，則不會收到錯誤，但 Route 53 會強制執行一週的 TTL。
+ 若要協助防止區域中斷，並避免網域無法使用的問題，您必須快速處理並解決 DNSSEC 錯誤。強烈建議您設定 CloudWatch 提醒，在偵測到 `DNSSECInternalFailure` 或 `DNSSECKeySigningKeysNeedingAction` 錯誤時發出警示。如需詳細資訊，請參閱[使用 Amazon CloudWatch 監控託管區域](monitoring-hosted-zones-with-cloudwatch.md)。
+ 本節描述的 KSK 操作可讓您輪換區域的 KSK。如需詳細資訊和逐步範例，請參閱部落格文章[使用 Amazon Route 53 設定 DNSSEC 簽署和驗證](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-dnssec-signing-and-validation-with-amazon-route-53/)中的 *DNSSEC 金鑰輪換*。

若要在 中使用 KSKs AWS 管理主控台，請遵循下列各節中的指引。

## 新增金鑰簽署金鑰 (KSK)
<a name="dns-configuring-dnssec-ksk-add-ksk"></a>

當您啟用 DNSSEC 簽署時，Route 53 會為您建立金鑰簽署 (KSK)。您也可以單獨新增 KSK。在 Route 53 中，每個託管區域中最多可擁有兩個 KSK。

建立 KSK 時，您必須提供或請求 Route 53 建立客戶受管金鑰以搭配 KSK 使用。當您提供或建立客戶受管的金鑰時，有幾點要求需要滿足。如需詳細資訊，請參閱[使用 DNSSEC 的客戶受管金鑰](dns-configuring-dnssec-cmk-requirements.md)。

請遵循下列步驟，在 AWS 管理主控台中新增 KSK。<a name="dns-configuring-dnssec-ksk-add-ksk-procedure"></a>

**新增 KSK**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

1. 在導覽窗格中，選擇 **Hosted zones (託管區域)**，然後選擇託管區域。

1. 在 **DNSSEC** 標籤上的 **Key-signing keys (KSKs) (金鑰簽署金鑰 (KSK))** 中，選擇 **Switch to advanced view (切換至進階檢視)**，然後在 **Actions (動作)** 下選擇** Add KSK (新增 KSK)**。

1. 在 **KSK** 下，輸入 Route 53 將為您建立的 KSK 名稱。名稱僅能包含字母、數字和底線 (\$1)。它必須獨一無二。

1. 輸入適用於 DNSSEC 簽署之客戶受管金鑰的別名，或輸入 Route 53 將為您建立之新客戶受管金鑰的別名。
**注意**  
如果您選擇讓 Route 53 建立客戶受管金鑰，請注意每個客戶受管金鑰都要分別支付費用。如需詳細資訊，請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。

1. 選擇 **Create KSK (建立 KSK)**。

## 編輯金鑰簽署金鑰 (KSK)
<a name="dns-configuring-dnssec-ksk-edit-ksk"></a>

您可以將 KSK 的狀態編輯為 **Active (作用中)** 或 **Inactive (非作用中)**。當 KSK 處於作用中狀態時，Route 53 會使用該 KSK 進行 DNSSEC 簽署。在刪除 KSK 之前，您必須先編輯 KSK，將其狀態設定為 **Inactive (非作用中)**。

請遵循下列步驟，在 AWS 管理主控台中編輯 KSK。<a name="dns-configuring-dnssec-ksk-edit-ksk-procedure"></a>

**編輯 KSK**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

1. 在導覽窗格中，選擇 **Hosted zones (託管區域)**，然後選擇託管區域。

1. 在 **DNSSEC signing** (DNSSEC 簽署) 標籤上的 **Key-signing keys (KSKs)** (金鑰簽署金鑰 (KSK)) 中，選擇 **Switch to advanced view** (切換至進階檢視)，然後，在 **Actions** (動作) 下選擇 **Edit KSK** (編輯 KSK)。

1. 對 KSK 進行所需的更新，然後選擇 **Save (儲存)**。

## 刪除金鑰簽署金鑰 (KSK)
<a name="dns-configuring-dnssec-ksk-delete-ksk"></a>

在刪除 KSK 之前，您必須先編輯 KSK，將其狀態設定為 **Inactive (非作用中)**。

您可能會刪除 KSK 的一點原因是做為例行金鑰輪換的環節之一。定期輪換密碼編譯金鑰是一種最佳實務。您的組織可能會針對輪換金鑰的頻率提供標準指引。

請依照下列步驟，在 AWS 管理主控台中刪除 KSK。<a name="dns-configuring-dnssec-ksk-delete-ksk-procedure"></a>

**刪除 KSK**

1. 登入 AWS 管理主控台 並開啟 Route 53 主控台，網址為 https：//[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

1. 在導覽窗格中，選擇 **Hosted zones (託管區域)**，然後選擇託管區域。

1. 在 **DNSSEC** 標籤上的 **Key-signing keys (KSKs) (金鑰簽署金鑰 (KSK))** 中，選擇 **Switch to advanced view (切換至進階檢視)**，然後在 **Actions (動作)** 下選擇 **Delete KSK (刪除 KSK)**。

1. 按照指引確認刪除 KSK。