Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de clés de signature () KSKs
Lorsque vous activez la signature DNSSEC, Route 53 crée une clé KSK pour vous. Vous pouvez en avoir jusqu'à deux KSKs par zone hébergée dans Route 53. Après avoir activé la signature DNSSEC, vous pouvez ajouter, supprimer ou modifier votre. KSKs
Tenez compte des points suivants lorsque vous travaillez avec votre KSKs :
+ Avant de pouvoir supprimer une clé KSK, vous devez modifier la clé KSK pour définir son statut sur **Inactive** (Inactif).
+ Lorsque la signature DNSSEC est activée pour une zone hébergée, Route 53 limite la TTL à une semaine. Si vous définissez une TTL de plus d'une semaine pour les registres dans la zone hébergée, vous n'obtenez pas d'erreur, mais Route 53 applique une TTL d'une semaine.
+ Pour éviter une panne de zone et éviter que votre domaine ne devienne indisponible, vous devez rapidement corriger et résoudre les erreurs DNSSEC. Nous vous recommandons vivement de configurer une CloudWatch alarme qui vous avertira chaque fois qu'une `DNSSECInternalFailure` `DNSSECKeySigningKeysNeedingAction` erreur est détectée. Pour de plus amples informations, veuillez consulter [Surveillance des zones hébergées à l'aide d'Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md).
+ Les opérations KSK décrites dans cette section vous permettent de faire pivoter celles de KSKs votre zone. Pour plus d'informations et un step-by-step exemple, consultez la section *Rotation des clés DNSSEC* dans le billet de blog [Configuration de la signature et de la validation DNSSEC avec Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-dnssec-signing-and-validation-with-amazon-route-53/).
Pour travailler avec KSKs dans le AWS Management Console, suivez les instructions des sections suivantes.
## Ajout d'une clé KSK
Lorsque vous activez la signature DNSSEC, Route 53 crée une clé KSK pour vous. Vous pouvez également les ajouter KSKs séparément. Vous pouvez en avoir jusqu'à deux KSKs par zone hébergée dans Route 53.
Lorsque vous créez un KSK, vous devez fournir ou demander à Route 53 de créer une clé gérée par le client à utiliser avec le KSK. Lorsque vous fournissez ou créez une clé gérée par le client, plusieurs exigences s'appliquent. Pour de plus amples informations, veuillez consulter [Utilisation des clés gérées par le client pour DNSSEC](dns-configuring-dnssec-cmk-requirements.md).
Procédez comme suit pour ajouter une clé KSK dans la AWS Management Console.
**Pour ajouter une clé KSK**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Hosted zones ** (Zones hébergées), puis choisissez une zone hébergée.
1. **Dans l'onglet **Signature DNSSEC**, sous Clés de **signature par clé (KSKs)**, choisissez **Passer à l'affichage avancé**, puis, sous **Actions**, choisissez Ajouter un KSK.**
1. Sous **KSK (Clé KSK)**, saisissez un nom pour la clé KSK que Route 53 créera pour vous. Le nom peut contenir des chiffres, des lettres et des traits de soulignement (\$1). Il doit être unique.
1. Entrez l'alias d'une clé gérée par le client qui s'applique à la signature DNSSEC, ou entrez un alias pour une nouvelle clé gérée par le client que Route 53 créera pour vous.
**Note**
Si vous choisissez que Route 53 crée une clé gérée par le client, sachez que des frais distincts s'appliquent pour chaque clé gérée par le client. Pour en savoir plus, consultez [Pricing AWS Key Management Service](https://aws.amazon.com/kms/pricing/) (Tarification).
1. Choisissez **Create KSK**(Créer une clé KSK).
## Modification d'une clé KSK
Vous pouvez modifier le statut d'une clé KSK sur **Active (Actif)** ou **Inactive (Inactif**). Lorsqu'une clé KSK est active, Route 53 l'utilise aux fins de la signature DNSSEC. Avant de pouvoir supprimer une clé KSK, vous devez modifier la clé KSK pour définir son statut sur **Inactive (Inactif)**.
Procédez comme suit pour modifier une clé KSK dans la AWS Management Console.
**Pour modifier une clé KSK**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Hosted zones ** (Zones hébergées), puis choisissez une zone hébergée.
1. **Dans l'onglet **Signature DNSSEC**, sous Clés de **signature par clé (KSKs)**, choisissez **Passer à l'affichage avancé**, puis, sous **Actions**, choisissez Modifier le KSK.**
1. Effectuez les mises à jour souhaitées sur la clé KSK, puis choisissez **Save (Enregistrer)**.
## Suppression d'une clé KSK
Avant de pouvoir supprimer une clé KSK, vous devez modifier la clé KSK pour définir son statut sur **Inactive (Inactif)**.
Vous pouvez supprimer une clé KSK aux fins de la routine de rotation des clés. Il est recommandé de périodiquement effectuer la rotation des clés de chiffrement. Votre organisation peut disposer d'instructions standard concernant la fréquence de rotation des clés.
Procédez comme suit pour supprimer une clé KSK dans la AWS Management Console.
**Pour supprimer une clé KSK**
1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Dans le panneau de navigation, choisissez **Hosted zones ** (Zones hébergées), puis choisissez une zone hébergée.
1. **Dans l'onglet **Signature DNSSEC**, sous Clés de **signature par clé (KSKs)**, choisissez **Passer à l'affichage avancé**, puis sous **Actions**, choisissez Supprimer le KSK.**
1. Suivez les instructions pour confirmer la suppression de la clé KSK.