Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53 - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53

Penandatanganan Ekstensi Keamanan Sistem Nama Domain (DNSSEC) memungkinkan DNS resolver memvalidasi bahwa DNS respons berasal dari Amazon Route 53 dan belum dirusak. Saat Anda menggunakan DNSSEC penandatanganan, setiap respons untuk zona yang dihosting ditandatangani menggunakan kriptografi kunci publik. Untuk ikhtisarDNSSEC, lihat DNSSEC bagian AWS Re:Invent 2021 - Amazon Route 53: Setahun dalam peninjauan.

Dalam Bab ini, kami menjelaskan cara mengaktifkan DNSSEC penandatanganan untuk Route 53, cara bekerja dengan kunci penandatanganan kunci (KSKs), dan cara memecahkan masalah. Anda dapat bekerja dengan DNSSEC masuk AWS Management Console atau secara terprogram dengan. API Untuk informasi selengkapnya tentang menggunakan CLI atau SDKs untuk bekerja dengan Route 53, lihatSiapkan Amazon Route 53.

Sebelum Anda mengaktifkan DNSSEC penandatanganan, perhatikan hal berikut:

  • Untuk membantu mencegah pemadaman zona dan menghindari masalah dengan domain Anda menjadi tidak tersedia, Anda harus segera mengatasi dan menyelesaikan DNSSEC kesalahan. Kami sangat menyarankan agar Anda mengatur CloudWatch alarm yang memberi tahu Anda setiap kali DNSSECKeySigningKeysNeedingAction kesalahan DNSSECInternalFailure atau terdeteksi. Untuk informasi selengkapnya, lihat Memantau zona yang dihosting menggunakan Amazon CloudWatch.

  • Ada dua jenis kunci diDNSSEC: kunci penandatanganan kunci (KSK) dan kunci penandatanganan zona (). ZSK Dalam DNSSEC penandatanganan Route 53, masing-masing KSK didasarkan pada kunci yang dikelola pelanggan asimetris AWS KMS yang Anda miliki. Anda bertanggung jawab atas KSK manajemen, termasuk memutarnya jika diperlukan. ZSKmanajemen dilakukan oleh Route 53.

  • Saat Anda mengaktifkan DNSSEC penandatanganan untuk zona yang dihosting, Route 53 membatasi TTL hingga satu minggu. Jika Anda menetapkan lebih TTL dari satu minggu untuk catatan di zona yang dihosting, Anda tidak mendapatkan kesalahan. Namun, Route 53 memberlakukan TTL satu minggu untuk catatan. Catatan yang memiliki waktu kurang TTL dari satu minggu dan catatan di zona host lain yang tidak mengaktifkan DNSSEC penandatanganan tidak terpengaruh.

  • Saat Anda menggunakan DNSSEC penandatanganan, konfigurasi multi-vendor tidak didukung. Jika Anda telah mengonfigurasi server nama label putih (juga dikenal sebagai server nama vanity atau server nama pribadi), pastikan server nama tersebut disediakan oleh satu penyedia. DNS

  • Beberapa DNS penyedia tidak mendukung catatan Penandatangan Delegasi (DS) dalam otoritatif mereka. DNS Jika zona induk Anda di-host oleh DNS penyedia yang tidak mendukung kueri DS (tidak menyetel tanda AA dalam respons kueri DS), maka saat Anda mengaktifkan DNSSEC di zona turunannya, zona anak akan menjadi tidak dapat diselesaikan. Pastikan DNS penyedia Anda mendukung catatan DS.

  • Akan sangat membantu untuk mengatur IAM izin untuk memungkinkan pengguna lain, selain pemilik zona, untuk menambah atau menghapus catatan di zona tersebut. Misalnya, pemilik zona dapat menambahkan KSK dan mengaktifkan penandatanganan, dan mungkin juga bertanggung jawab atas rotasi kunci. Namun, orang lain mungkin bertanggung jawab untuk bekerja dengan catatan lain pada zona yang di-hosting. Untuk contoh IAM kebijakan, lihatContoh izin untuk pemilik catatan domain.

  • Untuk memeriksa apakah TLD memiliki DNSSEC dukungan, lihatDomain yang dapat Anda daftarkan dengan Amazon Route 53.

Topik