Résolution des problèmes DNSSEC de signature

Les informations contenues dans cette section peuvent vous aider à résoudre les problèmes liés à la DNSSEC signature, notamment à l'activation, à la désactivation et à l'utilisation de vos clés de signature par clé (). KSKs

Activant DNSSEC

Assurez-vous d'avoir lu les conditions préalables Configuration de DNSSEC la signature dans Amazon Route 53 avant de commencer à activer la DNSSEC signature.

Désactivation DNSSEC

Afin de la désactiver en toute sécuritéDNSSEC, Route 53 vérifiera si la zone cible se trouve dans la chaîne de confiance. Il vérifie si le parent de la zone cible possède des enregistrements NS de la zone cible et des enregistrements DS de la zone cible. Si la zone cible ne peut pas être résolue publiquement, par exemple lorsqu'il s'agit d'obtenir une SERVFAIL réponse lors d'une requête pour NS et DS, Route 53 ne peut pas déterminer si elle peut être désactivée en toute sécurité. DNSSEC Vous pouvez contacter votre zone parent pour résoudre ces problèmes et réessayer de les désactiver ultérieurement. DNSSEC

KSKle statut est Une action est nécessaire

A KSK peut changer son statut en Action nécessaire (ou ACTION_NEEDED en KeySigningKeystatut), lorsque Route 53 DNSSEC perd l'accès à un correspondant AWS KMS key (en raison d'une modification des autorisations ou d'une AWS KMS key suppression).

Si le statut d'une action KSK est nécessaire, cela signifie que cela finira par provoquer une interruption de zone pour les clients utilisant des résolveurs de DNSSEC validation et vous devez agir rapidement pour éviter qu'une zone de production ne devienne impossible à résoudre.

Pour résoudre le problème, assurez-vous que la clé gérée par le client sur laquelle vous êtes basée KSK est activée et dispose des autorisations appropriées. Pour plus d'informations sur les autorisations requises, consultez Autorisations clés gérées par le client Route 53 requises pour la DNSSEC signature.

Après avoir corrigé leKSK, réactivez-le à l'aide de la console ou du AWS CLI, comme décrit dansÉtape 2 : activer DNSSEC la signature et créer un KSK.

Pour éviter que ce problème ne se reproduise à l'avenir, pensez à ajouter une Amazon CloudWatch métrique pour suivre l'état duKSK, comme suggéré dansConfiguration de DNSSEC la signature dans Amazon Route 53.

KSKle statut est Défaillance interne

Lorsqu'un KSK a le statut Défaillance interne (ou INTERNAL_FAILURE un KeySigningKeystatut), vous ne pouvez pas travailler avec d'autres DNSSEC entités tant que le problème n'est pas résolu. Vous devez prendre des mesures avant de pouvoir commencer à DNSSEC signer, notamment utiliser cette signature KSK ou une autreKSK.

Pour corriger le problème, réessayez d'activer ou de désactiver leKSK.

Pour corriger le problème lorsque vous travaillez avec leAPIs, essayez d'activer la signature (EnableHostedZoneDNSSEC) ou de désactiver la signature (DisableHostedZoneDNSSEC).

Il est important que vous corrigiez rapidement les problèmes Internal failure (Échec interne). Vous ne pouvez pas apporter d'autres modifications à la zone hébergée tant que vous n'avez pas corrigé le problème, à l'exception des opérations visant à résoudre le problème Internal failure (Échec interne).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

DNSSECpreuves de non-existence sur la Route 53

Utilisation AWS Cloud Map pour créer des dossiers et des bilans de santé