Configuración de DNSSEC la firma en Amazon Route 53 - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de DNSSEC la firma en Amazon Route 53

La firma de extensiones de seguridad del sistema de nombres de dominio (DNSSEC) permite a DNS los solucionadores validar que una DNS respuesta proviene de Amazon Route 53 y que no se ha manipulado. Al utilizar la DNSSEC firma, todas las respuestas de una zona alojada se firman mediante criptografía de clave pública. Para obtener información generalDNSSEC, consulte la DNSSEC sección de AWS re:Invent 2021: Amazon Route 53: resumen de un año.

En este capítulo, explicamos cómo habilitar la DNSSEC firma en Route 53, cómo trabajar con las claves de firma clave (KSKs) y cómo solucionar problemas. Puede trabajar DNSSEC iniciando sesión en AWS Management Console o mediante programación con. API Para obtener más información sobre el uso de CLI o SDKs para trabajar con Route 53, consulte. Configuración de Amazon Route 53

Antes de habilitar la DNSSEC firma, tenga en cuenta lo siguiente:

  • Para evitar una interrupción en la zona y evitar que tu dominio deje de estar disponible, debes abordar y resolver DNSSEC los errores rápidamente. Te recomendamos encarecidamente que configures una CloudWatch alarma que te avise cada vez que se detecte un DNSSECKeySigningKeysNeedingAction error DNSSECInternalFailure o error. Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.

  • Hay dos tipos de clavesDNSSEC: una clave de firma de claves (KSK) y una clave de firma de zona (). ZSK En la DNSSEC firma de Route 53, cada una de ellas KSK se basa en una clave asimétrica gestionada por el cliente que usted posee. AWS KMS Usted es responsable de la KSK administración, lo que incluye rotarla si es necesario. ZSKLa gestión la realiza Route 53.

  • Al habilitar la DNSSEC firma en una zona alojada, Route 53 limita la firma TTL a una semana. Si estableces un TTL periodo de más de una semana para los registros de la zona alojada, no se producirá ningún error. Sin embargo, Route 53 impone un plazo TTL de una semana para los registros. Los registros que tengan menos TTL de una semana y los registros de otras zonas alojadas que no tengan habilitada la DNSSEC firma no se ven afectados.

  • Cuando se utiliza la DNSSEC firma, no se admiten las configuraciones de varios proveedores. Si ha configurado servidores de nombres de marca blanca (también conocidos como servidores de nombres personalizados o servidores de nombres privados), asegúrese de que esos servidores de nombres los proporcione un único proveedor. DNS

  • Algunos DNS proveedores no admiten los registros de los firmantes delegados (DS) en sus documentos oficiales. DNS Si la zona principal está alojada por un DNS proveedor que no admite consultas de DS (no establece el indicador AA en la respuesta a las consultas de DS), al habilitar DNSSEC la zona secundaria, la zona secundaria no se podrá resolver. Asegúrese de que su DNS proveedor admita los registros de DS.

  • Puede resultar útil configurar IAM permisos para que otro usuario, además del propietario de la zona, pueda añadir o eliminar registros de la zona. Por ejemplo, el propietario de una zona puede añadir KSK y habilitar la firma, y también puede ser responsable de la rotación de claves. No obstante, otra persona podría ser responsable de trabajar con otros registros para la zona alojada. Para ver un ejemplo IAM de política, consultePermisos de ejemplo para el propietario de un registro de dominio.

  • Para comprobar si TLD cuenta con DNSSEC soporte, consulteDominios que puede registrar con Amazon Route 53.

Temas