Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les informations contenues dans cette section peuvent vous aider à résoudre les problèmes liés à la signature DNSSEC, notamment à l'activation, à la désactivation et à vos clés de signature par clé (). KSKs
- Activation de la signature DNSSEC
Assurez-vous d'avoir lu les prérequis dans Configuration de la signature DNSSEC dans Amazon Route 53 avant de commencer activer la signature DNSSEC.
- Désactivation de la signature DNSSEC
Afin de désactiver la signature DNSSEC en toute sécurité, Route 53 vérifiera si la zone cible se trouve dans la chaîne d'approbation. Il vérifie si le parent de la zone cible possède des enregistrements NS de la zone cible et des enregistrements DS de la zone cible. Si la zone cible ne peut pas être résolue publiquement, par exemple si vous recevez une réponse SERVFAIL lors d'une requête pour NS et DS, Route 53 ne peut pas déterminer s'il est prudent de désactiver la signature DNSSEC. Vous pouvez contacter votre zone parent pour résoudre ces problèmes et réessayer de désactiver la signature DNSSEC ultérieurement.
- Le statut de la clé KSK est Action needed (Action requise)
Un KSK peut changer son statut en Action nécessaire (ou
ACTION_NEEDEDen KeySigningKeystatut), lorsque Route 53 DNSSEC perd l'accès à un correspondant AWS KMS key (en raison d'une modification des autorisations ou AWS KMS key d'une suppression).Si le statut d'un KSK est Action needed (Action requise), cela signifie qu'il finira par provoquer une panne de zone pour les clients utilisant des résolveurs de validation DNSSEC et que vous devez agir rapidement pour éviter qu'une zone de production ne devienne impossible à résoudre.
Pour corriger le problème, assurez-vous que la clé gérée par le client sur laquelle votre clé KSK est basée est activée et qu'elle dispose des autorisations appropriées. Pour plus d'informations sur les autorisations requises, consultez Autorisations de clé gérées par le client Route 53 requises pour la signature DNSSEC.
Après avoir corrigé le KSK, réactivez-le à l'aide de la console ou du AWS CLI, comme décrit dansÉtape 2 : Activer la signature DNSSEC et créer une clé KSK.
Pour éviter ce problème à l'avenir, pensez à ajouter une Amazon CloudWatch métrique pour suivre l'état du KSK, comme suggéré dansConfiguration de la signature DNSSEC dans Amazon Route 53.
- Le statut de la clé KSK est Internal failure (Échec interne)
-
Lorsqu'un KSK présente un état de défaillance interne (ou
INTERNAL_FAILUREun KeySigningKeyétat), vous ne pouvez pas travailler avec d'autres entités DNSSEC tant que le problème n'est pas résolu. Vous devez prendre des mesures avant de pouvoir utiliser la signature DNSSEC, y compris avant d'utiliser cette clé KSK ou votre autre clé KSK.Pour corriger le problème, essayez à nouveau d'activer ou de désactiver la clé KSK.
Pour corriger le problème lorsque vous travaillez avec le APIs, essayez d'activer la signature (EnableHostedZoneDNSSEC) ou de désactiver la signature (DisableHostedZoneDNSSEC).
Il est important que vous corrigiez rapidement les problèmes Internal failure (Échec interne). Vous ne pouvez pas apporter d'autres modifications à la zone hébergée tant que vous n'avez pas corrigé le problème, à l'exception des opérations visant à résoudre le problème Internal failure (Échec interne).
