Amazon Route 53에서 DNSSEC 서명 구성

도메인 이름 시스템 보안 확장(DNSSEC) 서명을 통해 DNS 해석기는 DNS 응답이 Amazon Route 53에서 왔으며 변조되지 않았는지 검증할 수 있습니다. DNSSEC 서명을 사용하는 경우 호스팅 영역에 대한 모든 응답은 퍼블릭 키 암호화를 사용하여 서명됩니다. DNSSEC 개요는 re:Invent 2021 - Amazon Route 53: 검토 중인 1년의 DNSSEC 섹션을 참조하세요. AWS

이 장에서는 Route 53에 대해 DNSSEC 서명을 활성화하는 방법, 키 서명 키(KSKs)로 작업하는 방법, 문제를 해결하는 방법을 설명합니다. 에서 DNSSEC 서명을 사용하거나 API를 AWS Management Console 프로그래밍 방식으로 사용할 수 있습니다. CLI 또는 SDKs를 사용하여 Route 53에서 작업하는 방법에 대한 자세한 내용은 섹션을 참조하세요Amazon Route 53 설정.

DNSSEC 서명을 활성화하기 전에 다음 사항에 유의하세요.

영역 중단을 방지하고 도메인을 사용할 수 없게 되는 문제를 방지하려면 DNSSEC 오류를 신속하게 해결하고 해결해야 합니다. DNSSECInternalFailure 또는 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 경고하는 a CloudWatch 경보를 설정하는 것이 좋습니다. 자세한 내용은 Amazon CloudWatch를 사용하여 호스팅 영역 모니터링 단원을 참조하십시오.
DNSSEC에는 키 서명 키(KSK)와 영역 서명 키(ZSK)의 두 가지 종류의 키가 있습니다. Route 53 DNSSEC 서명에서 각 KSK는 소유한 비대칭 고객 관리형 키를 AWS KMS 기반으로 합니다. 필요한 경우 교체하는 것을 포함하여 KSK 관리에 대한 책임은 사용자에게 있습니다. ZSK 관리는 Route 53에서 수행됩니다.
호스팅 영역에 대해 DNSSEC 서명을 활성화하면 Route 53은 TTL를 1주일로 제한합니다. 호스팅 영역의 레코드에 대해 1주일 이상의 TTL를 설정하면 오류가 발생하지 않습니다. 그러나 Route 53은 레코드에 대해 1주일의 TTL를 적용합니다. TTL 서명이 활성화되지 않은 다른 호스팅 영역의 레코드와 1주일 미만의 DNSSEC가 있는 레코드는 영향을 받지 않습니다.
DNSSEC 서명 사용 시 다중 공급업체 구성은 지원되지 않습니다. 화이트 레이블 이름 서버(배니티 이름 서버 또는 프라이빗 이름 서버라고도 함)를 구성한 경우 단일 DNS 공급자가 해당 이름 서버를 제공하는지 확인합니다.
일부 DNS 공급자는 권한 있는 DNS의 위임 서명자(DS) 레코드를 지원하지 않습니다. DS 쿼리를 지원하지 않는 DNS 공급자가 상위 영역을 호스팅하는 경우(DS 쿼리 응답에서 AA 플래그를 설정하지 않음) 하위 영역에서 DNSSEC를 활성화하면 하위 영역을 해결할 수 없게 됩니다. DNS 공급자가 DS 레코드를 지원하는지 확인합니다.
영역 소유자 외에 다른 사용자가 영역에 레코드를 추가하거나 제거할 수 있도록 IAM 권한을 설정하는 것이 도움이 될 수 있습니다. 예를 들어 영역 소유자는 KSK를 추가하고 서명을 활성화할 수 있으며 키 교체를 담당할 수도 있습니다. 그러나 다른 사람에게 호스팅 영역에 대한 다른 레코드로 작업할 책임이 있을 수 있습니다. 예제 IAM 정책은 섹션을 참조하세요도메인 레코드 소유자에 대한 사용 권한 예제.
TLD에 DNSSEC가 지원되는지 확인하려면 섹션을 참조하세요Amazon Route 53에 등록할 수 있는 도메인.

주제

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

레코드 나열

DNSSEC 서명 활성화 및 신뢰 체인 설정