DNSSEC 서명 문제 해결

DNSSEC 서명을 활성화하기 Amazon Route 53에서 DNSSEC 서명 구성 전에의 사전 조건을 읽었는지 확인하세요.

DNSSEC를 안전하게 비활성화하기 위해 Route 53은 대상 영역이 신뢰 체인에 있는지 확인합니다. 대상 영역의 상위 영역에 대상 영역의 NS 레코드와 대상 영역의 DS 레코드가 있는지 확인합니다. 예를 들어 NS 및 DS를 쿼리할 때 SERVFAIL 응답을 받는 등 대상 영역을 공개적으로 해결할 수 없는 경우 Route 53은 DNSSEC를 비활성화해도 안전한지 여부를 확인할 수 없습니다. 상위 영역에 문의하여 이러한 문제를 해결하고 나중에 DNSSEC 비활성화를 다시 시도할 수 있습니다.

Route 53 KSK가 해당 ACTION_NEEDED에 대한 액세스 권한을 상실하면(권한 변경 또는 AWS KMS key 삭제로 인해) Word의 상태가 필요한 작업 AWS KMS key (또는 DNSSEC KeySigningKey 상태)으로 변경될 수 있습니다.

KSK의 상태가 필요한 작업인 경우, 이는 결국 DNSSEC 검증 해석기를 사용하여 클라이언트에게 영역 중단을 유발하고 프로덕션 영역을 해결할 수 없도록 신속하게 조치해야 함을 의미합니다.

문제를 해결하려면 KSK 기반 고객 관리형 키가 활성화되어 있고 올바른 권한이 있는지 확인합니다. 필요한 권한에 대한 자세한 정보는 DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한 단원을 참조하세요.

KSK를 수정한 후에 설명된 AWS CLI대로 콘솔 또는를 사용하여 다시 활성화합니다2단계: DNSSEC 서명 활성화 및 KSK 생성.

향후이 문제를 방지하려면 Amazon CloudWatch 에 제안된 대로 KSK 상태를 추적하는 지표를 추가하는 것이 좋습니다Amazon Route 53에서 DNSSEC 서명 구성.

KSK의 상태가 내부 실패(또는 KeySigningKey 상태)INTERNAL_FAILURE인 경우 문제가 해결될 때까지 다른 DNSSEC 엔터티로 작업할 수 없습니다. 이 DNSSEC 또는 다른 Word로 작업하는 것을 포함하여 KSK 서명으로 작업하려면 먼저 조치를 취해야 합니다KSK.

문제를 해결하려면 KSK를 다시 활성화하거나 비활성화하세요.

APIs로 작업할 때 문제를 해결하려면 서명 활성화(EnableHostedZoneDNSSECWord) 또는 서명 비활성화( DisableHostedZoneDNSSECWord)를 시도하세요.

내부 오류(Internal failure) 문제는 신속하게 해결해야 합니다. 문제를 해결하기 전까지는 호스팅 영역을 변경할 수 없습니다. 단, 내부 오류(Internal failure) 수정 작업은 예외로 합니다.