Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Perlindungan dari catatan delegasi yang menggantung di Rute 53
Dengan Route 53, pelanggan dapat membuat zona yang dihosting, seperti`example.com`, untuk meng-host catatan DNS mereka. Setiap zona yang dihosting dilengkapi dengan “set delegasi”, yang merupakan satu set dari empat server nama yang dapat digunakan pelanggan untuk mengonfigurasi catatan NS di domain induk. Catatan NS ini dapat disebut “catatan NS delegasi”, atau “catatan delegasi”.
Agar zona yang dihosting `example.com` Route 53 menjadi otoritatif, pemilik domain yang sah perlu mengonfigurasi catatan delegasi di `example.com` domain induk “.com” mereka melalui registrar domain domain. Dalam kasus di mana pelanggan kehilangan akses ke empat server nama yang dikonfigurasi dalam domain induk, misalnya karena zona host terkait dihapus, itu dapat menciptakan risiko bahwa penyerang dapat mengeksploitasi. Ini disebut sebagai risiko “catatan delegasi menggantung”.
Route 53 melindungi dari risiko catatan delegasi yang menggantung dalam kasus di mana zona yang dihosting dihapus. Setelah penghapusan, jika zona host baru dibuat dengan nama domain yang sama, Route 53 akan memeriksa apakah catatan delegasi yang menunjuk ke zona host yang dihapus masih ada di domain induk. Jika ya, Route 53 akan mencegah server nama yang tumpang tindih ditetapkan. Ini adalah skenario 1 dalam contoh berikut.
Namun, ada risiko catatan delegasi menggantung lainnya, yang tidak dapat dilindungi oleh Route 53, seperti yang dijelaskan dalam skenario 2 hingga 5 dalam contoh berikut. Untuk melindungi diri Anda dari serangkaian risiko yang lebih luas ini, pastikan catatan NS induk cocok dengan delegasi yang ditetapkan untuk zona yang dihosting Route 53. Anda dapat menemukan kumpulan delegasi zona yang dihosting melalui konsol Route 53 atau AWS CLI. Untuk informasi selengkapnya, lihat [Mencantumkan catatan](resource-record-sets-listing.md) atau [get-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/route53/get-hosted-zone.html).
Selain itu, mengaktifkan penandatanganan DNSSEC untuk zona host Route 53 dapat berfungsi sebagai lapisan perlindungan lain di luar praktik terbaik yang disebutkan di atas. DNSSEC mengotentikasi bahwa jawaban DNS berasal dari sumber otoritatif, yang secara efektif melindungi terhadap risiko ini. Untuk mengetahui informasi selengkapnya, lihat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).
## Contoh
Dalam contoh berikut, kami menganggap Anda memiliki domain`example.com`, dan domain turunannya`child.example.com`. Kami akan menjelaskan bagaimana dalam berbagai skenario catatan delegasi yang menggantung dapat dibuat, bagaimana Route 53 melindungi domain Anda dari penyalahgunaan dan cara mengurangi risiko yang terkait dengan catatan delegasi yang menggantung secara efektif.
**Skenario 1:**
Anda membuat zona yang dihosting `child.example.com` dengan empat server nama:,,, dan. Anda mengatur delegasi dengan benar di zona yang dihosting`example.com`, membuat catatan NS delegasi `child.example.com` dengan empat server nama, , dan. Saat zona yang `child.example.com` dihosting dihapus tanpa menghapus catatan NS delegasi`example.com`, Route 53 melindungi `child.example.com` dari risiko catatan delegasi yang menggantung dengan mencegah,, , dan agar tidak ditetapkan ke zona host yang baru dibuat dengan nama domain yang sama.
**Skenario 2:**
Mirip dengan skenario 1, tetapi kali ini Anda menghapus zona host anak DAN catatan NS delegasi di zona `example.com` yang dihosting. Namun, Anda menambahkan kembali catatan NS delegasi ,, dan tanpa membuat zona host anak. Di sini,,,, dan menggantung catatan delegasi, karena Route 53 menghapus penahanan, yang mencegah,, , dan ditetapkan dan sekarang akan memungkinkan zona host yang baru dibuat untuk menggunakan server nama di atas. Untuk mengurangi risiko, hapus,, , dan dari catatan delegasi dan tambahkan kembali setelah zona yang dihosting anak telah dibuat.
**Skenario 3:**
Dalam skenario ini, Anda membuat set delegasi Route 53 yang dapat digunakan kembali dengan server nama,, , dan. Kemudian, Anda mendelegasikan domain `example.com` ke server nama ini di domain `.com` induk. Namun, Anda belum membuat zona yang dihosting untuk `example.com` set delegasi yang dapat digunakan kembali. Di sini,,,, dan menggantung catatan delegasi. Untuk mengurangi risiko, buat zona yang dihosting menggunakan set delegasi yang dapat digunakan kembali dengan server nama,,, dan.
**Skenario 4:**
Anda membuat zona yang dihosting untuk keduanya `child.example.com` dengan server nama ,,, dan, dan `grandchild.child.example.com` dengan server nama,,, dan. Namun, Anda mendelegasikan keduanya secara langsung di `example.com` zona, yang menciptakan risiko delegasi yang menggantung. Untuk memastikan delegasi mengikuti hierarki DNS yang tepat, hanya delegasikan subdomain melalui zona induk langsung mereka. Misalnya, jika Anda ingin mendelegasikan`grandchild.child.example.com`: delegasikan pertama `child.example.com` dengan server nama,, , dan di `example.com` zona, lalu delegasikan `grandchild.child.example.com` dengan server nama,,, dan di `child.example.com` zona, dan hapus delegasi langsung apa pun dari zona tersebut. `grandchild.child.example.com` `example.com`
**Skenario 5:**
Anda mendelegasikan domain atau subdomain ke server nama Route 53 sebelum membuat zona host yang sesuai, ini membuat catatan delegasi yang menggantung. Ini mirip dengan kasus di Skenario 3, tetapi risikonya juga berlaku ketika tidak ada kumpulan delegasi yang dapat digunakan kembali dibuat. Misalnya, Anda mendelegasikan domain `example.com` ke server nama, , dan di domain induk`.com`, tetapi tidak satu pun dari server nama ini yang pernah di-host`example.com`. Route 53 tidak dapat melindungi terhadap hal ini karena tidak ada zona yang dihosting yang pernah ada untuk membuat penahanan pada server nama tersebut untuk nama domain tersebut. Untuk mengurangi risiko, hanya delegasikan ke server nama Route 53 yang termasuk dalam zona host publik yang Anda kontrol.