Konfiguration der DNSSEC Anmeldung in Amazon Route 53 - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der DNSSEC Anmeldung in Amazon Route 53

Durch die Signierung von Domain Name System Security Extensions (DNSSEC) können DNS Resolver überprüfen, ob eine DNS Antwort von Amazon Route 53 stammt und nicht manipuliert wurde. Wenn Sie DNSSEC Signierung verwenden, wird jede Antwort für eine gehostete Zone mit Public-Key-Kryptografie signiert. Einen Überblick DNSSEC über finden Sie im DNSSEC Abschnitt AWS re:Invent 2021 — Amazon Route 53: Ein Jahr im Rückblick.

In diesem Kapitel erklären wir, wie Sie das DNSSEC Signieren für Route 53 aktivieren, wie Sie mit Tastensignaturschlüsseln (KSKs) arbeiten und wie Sie Probleme beheben können. Sie können mit der DNSSEC Anmeldung in AWS Management Console oder programmgesteuert mit dem arbeiten. API Weitere Informationen zur Verwendung von CLI oder SDKs für die Arbeit mit Route 53 finden Sie unter. Amazon Route 53 einrichten

Bevor Sie das DNSSEC Signieren aktivieren, sollten Sie Folgendes beachten:

  • Um einen Ausfall einer Zone und Probleme mit der Nichtverfügbarkeit Ihrer Domain zu vermeiden, müssen Sie Fehler schnell beheben und DNSSEC beheben. Wir empfehlen Ihnen dringend, einen CloudWatch Alarm einzurichten, der Sie benachrichtigt, wenn ein DNSSECKeySigningKeysNeedingAction Fehler DNSSECInternalFailure oder erkannt wird. Weitere Informationen finden Sie unter Überwachung von Hosting-Zonen mit Amazon CloudWatch.

  • Es gibt zwei Arten von SchlüsselnDNSSEC: einen Schlüssel zur Schlüsselsignierung (KSK) und einen Schlüssel zur Zonensignierung (). ZSK Bei der Route DNSSEC 53-Signierung KSK basiert jeder auf einem asymmetrischen, vom Kunden verwalteten Schlüssel, den Sie besitzen. AWS KMS Sie sind für die KSK Verwaltung verantwortlich, was bei Bedarf auch die Rotation der Daten einschließt. ZSKDie Verwaltung erfolgt über Route 53.

  • Wenn Sie das DNSSEC Signieren für eine gehostete Zone aktivieren, begrenzt Route 53 das TTL auf eine Woche. Wenn Sie für Datensätze in TTL der Hosting-Zone einen Wert von mehr als einer Woche festlegen, wird keine Fehlermeldung angezeigt. Route 53 erzwingt jedoch eine Frist TTL von einer Woche für die Datensätze. Datensätze mit einer Laufzeit TTL von weniger als einer Woche und Datensätze in anderen Hosting-Zonen, für die die DNSSEC Signierung nicht aktiviert ist, sind nicht betroffen.

  • Wenn Sie DNSSEC Signierung verwenden, werden Konfigurationen verschiedener Anbieter nicht unterstützt. Wenn Sie White-Label-Nameserver (auch bekannt als Vanity-Nameserver oder private Nameserver) konfiguriert haben, stellen Sie sicher, dass diese Nameserver von einem einzigen Anbieter bereitgestellt werden. DNS

  • Einige DNS Anbieter unterstützen in ihren Autorisierungsdiensten keine DS-Einträge (Delegation Signer). DNS Wenn Ihre übergeordnete Zone von einem DNS Anbieter gehostet wird, der keine DS-Abfragen unterstützt (ohne das AA-Flag in der DS-Abfrageantwort zu setzen), kann die untergeordnete Zone nicht mehr aufgelöst werden, wenn Sie die Option DNSSEC in der untergeordneten Zone aktivieren. Stellen Sie sicher, dass Ihr DNS Anbieter DS-Einträge unterstützt.

  • Es kann hilfreich sein, IAM Berechtigungen einzurichten, die es einem anderen Benutzer als dem Zonenbesitzer ermöglichen, Datensätze in der Zone hinzuzufügen oder zu entfernen. Ein Zonenbesitzer kann beispielsweise eine Signatur hinzufügen KSK und aktivieren und ist möglicherweise auch für die Schlüsselrotation verantwortlich. Möglicherweise ist eine andere Person jedoch für die Arbeit mit anderen Datensätzen für die gehostete Zone verantwortlich. Ein Beispiel für eine IAM Richtlinie finden Sie unterBeispielberechtigungen für einen Domänendatensatzbesitzer.

  • Informationen darüber, ob die TLD DNSSEC unterstützt wird, finden Sie unterDomains, die Sie mit Amazon Route 53 registrieren können.

Themen