Amazon Route 53 での DNSSEC 署名の設定

ゾーンの停止を防ぎ、ドメインが使用できなくなる問題を回避するには、DNSSEC エラーに迅速に対処して解決する必要があります。DNSSECInternalFailure または DNSSECKeySigningKeysNeedingAction エラーが検出されるたびに警告する CloudWatch アラームを設定することを強くお勧めします。詳細については、「Amazon を使用したホストゾーンのモニタリング CloudWatch」を参照してください。

DNSSEC には、キー署名キー (KSK) とゾーン署名キー (ZSK) の 2 種類のキーがあります。Route 53 DNSSEC 署名では、各 KSK は、所有する の AWS KMS 非対称カスタマーマネージドキーに基づいています。必要に応じてローテーションするなど、KSK 管理はお客様の責任となります。ZSK管理は Route 53 によって実行されます。

ホストゾーンの DNSSEC 署名を有効にすると、Route 53 は TTL を 1 週間に制限します。ホストゾーンのレコードに TTL を 1 週間以上設定した場合、エラーは発生しません。ただし、Route 53 はレコードに 1 週間のTTLを適用します。TTL が 1 週間未満のレコードと、DNSSEC 署名が有効になっていない他のホストゾーンのレコードは影響を受けません。

DNSSEC 署名を使用する場合、マルチベンダー設定はサポートされていません。ホワイトラベルネームサーバー (バニティネームサーバーまたはプライベートネームサーバーとも呼ばれます) を設定している場合は、それらのネームサーバーが単一の DNS プロバイダーによって提供されていることを確認してください。

一部の DNS プロバイダーは、権威のある DNS の委任署名者 (DS) レコードをサポートしていません。親ゾーンが DS クエリをサポートしていない (DS クエリレスポンスで AA フラグを設定していない) DNS プロバイダーによってホストされている場合、子ゾーンで DNSSEC を有効にすると、子ゾーンは解決できなくなります。DNS プロバイダーが DS レコードをサポートしていることを確認します。

ゾーン所有者以外の他のユーザーがゾーン内のレコードを追加または削除できるようにする IAM アクセス許可を設定すると便利です。例えば、ゾーン所有者は KSK を追加して署名を有効にし、キーのローテーションを担当する場合もあります。同時に、他のユーザーがホストゾーンで他のレコードの操作を担当することも可能です。IAM ポリシーの例については、「」を参照してくださいドメインレコード所有者のアクセス許可の例。

TLD が DNSSEC をサポートしているかどうかを確認するには、「」を参照してくださいAmazon Route 53 に登録できる最上位ドメイン。