Configurazione dell'DNSSECaccesso in Amazon Route 53 - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'DNSSECaccesso in Amazon Route 53

La firma Domain Name System Security Extensions (DNSSEC) consente ai DNS resolver di verificare che una risposta DNS provenga da Amazon Route 53 e non sia stata manomessa. Quando usi la DNSSEC firma, ogni risposta per una zona ospitata viene firmata utilizzando la crittografia a chiave pubblica. Per una panoramica diDNSSEC, consulta la DNSSEC sezione di AWS re:Invent 2021 - Amazon Route 53: un anno in rassegna.

In questo capitolo, spieghiamo come abilitare la DNSSEC firma per Route 53, come utilizzare le chiavi per la firma dei tasti (KSKs) e come risolvere i problemi. Puoi lavorare DNSSEC accedendo a AWS Management Console o programmaticamente con. API Per ulteriori informazioni sull'utilizzo di CLI o sull'utilizzo SDKs di Route 53, vedere. Configura Amazon Route 53

Prima di abilitare DNSSEC la firma, tieni presente quanto segue:

  • Per evitare interruzioni della zona ed evitare problemi di indisponibilità del dominio, è necessario correggere e risolvere rapidamente DNSSEC gli errori. Ti consigliamo vivamente di impostare un CloudWatch allarme che ti avvisi ogni volta che viene rilevato un DNSSECKeySigningKeysNeedingAction errore DNSSECInternalFailure or. Per ulteriori informazioni, consulta Monitoraggio delle zone ospitate tramite Amazon CloudWatch.

  • Esistono due tipi di chiaviDNSSEC: una chiave per la firma dei tasti (KSK) e una chiave per la firma delle zone (). ZSK Nella DNSSEC firma Route 53, ciascuna di esse KSK si basa su una chiave asimmetrica gestita dal cliente e di sua proprietà. AWS KMS Sei responsabile della KSK gestione, che include la rotazione, se necessario. ZSKla gestione viene eseguita da Route 53.

  • Quando abiliti la DNSSEC registrazione per una zona ospitata, Route 53 limita la TTL durata a una settimana. Se imposti un TTL periodo di più di una settimana per i record nella zona ospitata, non viene visualizzato alcun errore. Tuttavia, Route 53 impone TTL una settimana per i record. I record con una TTL durata inferiore a una settimana e i record in altre zone ospitate che non hanno la DNSSEC firma abilitata non sono interessati.

  • Quando si utilizza la DNSSEC firma, le configurazioni multivendor non sono supportate. Se hai configurato server di nomi con etichetta bianca (noti anche come vanity name server o name server privati), assicurati che tali server di nomi siano forniti da un unico provider. DNS

  • Alcuni DNS provider non supportano i record Delegation Signer (DS) nei loro file autoritativi. DNS Se la tua zona principale è ospitata da un DNS provider che non supporta le query DS (non imposta il flag AA nella risposta alla query DS), quando abiliti DNSSEC nella relativa zona figlio, la zona figlio diventerà irrisolvibile. Assicurati che il tuo DNS provider supporti i record DS.

  • Può essere utile impostare IAM le autorizzazioni per consentire a un altro utente, oltre al proprietario della zona, di aggiungere o rimuovere record nella zona. Ad esempio, il proprietario di una zona può aggiungere KSK e abilitare la firma e potrebbe anche essere responsabile della rotazione delle chiavi. Tuttavia, qualcun altro potrebbe essere responsabile dell'utilizzo di altri record per la zona ospitata. Per un esempio di IAM politica, vediAutorizzazioni di esempio per il proprietario di un record di dominio.

  • Per verificare se TLD è DNSSEC supportata, consultaDomini che è possibile registrare con Amazon Route 53.