Amazon Route 53에서 DNSSEC 서명 구성
DNSSEC(도메인 이름 시스템 보안 확장) 서명을 사용하면 DNS 해석기가 DNS 응답이 Amazon Route 53에서 왔으며 변조되지 않았는지 검증할 수 있습니다. DNSSEC 서명을 사용하면 호스팅 영역에 대한 모든 응답이 퍼블릭 키 암호화를 사용하여 서명됩니다. DNSSEC에 대한 개요는 AWS re:Invent 2021 - Amazon Route 53: A year in review
이 장에서는 Route 53에 대해 DNSSEC 서명을 사용하는 방법, KSK(키 서명 키)에서 작업하는 방법 및 문제 해결 방법에 대해 설명합니다. AWS Management Console에서 또는 API를 사용하여 프로그래밍 방식으로 DNSSEC 서명을 사용할 수 있습니다. CLI나 SDK를 사용하여 Route 53에서 작업하는 방법에 대한 자세한 내용은 Amazon Route 53 설정 섹션을 참조하세요.
DNSSEC 서명을 사용하기 전에 다음 사항에 유의하세요.
영역 중단을 방지하고 도메인을 사용할 수 없게 되는 문제를 방지하려면 DNSSEC 오류를 신속하게 대응하고 해결해야 합니다.
DNSSECInternalFailure또는DNSSECKeySigningKeysNeedingAction오류를 감지할 때마다 알림이 전송되도록 CloudWatch 경보를 설정하는 것이 좋습니다. 자세한 내용은 Amazon CloudWatch를 사용하여 호스팅 영역 모니터링 섹션을 참조하세요.DNSSEC에는 KSK(키 서명 키) 와 ZSK(영역 서명 키)라는 두 가지 키가 있습니다. Route 53 DNSSEC 서명에서 각 KSK는 사용자가 소유한 AWS KMS의 비대칭 고객 관리형 키를 기반으로 합니다. 필요한 경우 교체를 포함한 KSK 관리에 대한 책임은 사용자에게 있습니다. ZSK 관리는 Route 53에서 수행합니다.
호스팅 영역에 대해 DNSSEC 서명을 사용하면 Route 53가 TTL을 1주일로 제한합니다. 호스팅 영역의 레코드에 대해 TTL을 1주일보다 긴 기간으로 설정하면 오류가 발생하지 않습니다. 그러나 Route 53는 해당 레코드에 대해 1주일의 TTL을 적용합니다. TTL이 1주일 미만인 레코드와 DNSSEC 서명이 사용되지 않은 다른 호스팅 영역의 레코드는 영향을 받지 않습니다.
DNSSEC 서명을 사용하면 다중 공급 업체 구성이 지원되지 않습니다. 화이트 레이블 이름 서버(베니티 이름 서버 또는 프라이빗 이름 서버라고도 함)를 구성한 경우, 이 이름 서버가 단일 DNS 공급자로 제공되는지 확인합니다.
-
일부 DNS 공급자는 권한 있는 DNS에 DS(Delegation Signer) 레코드를 지원하지 않습니다. DS 쿼리 응답에 AA 플래그를 설정하지 않고 DS 쿼리를 지원하지 않는 DNS 공급자가 상위 영역을 호스팅한다면, 하위 영역에서 DNSSEC를 활성화하는 경우에 하위 영역을 확인할 수 없게 됩니다. DNS 공급자가 DS 레코드를 지원하는지 확인하세요.
영역 소유자 외에 다른 사용자가 해당 영역에 레코드를 추가하거나 제거할 수 있도록 IAM 권한을 설정하는 것이 도움이 될 수 있습니다. 예를 들어 영역 소유자는 KSK를 추가하고 서명을 활성화할 수 있으며 키 교체를 담당할 수도 있습니다. 그러나 다른 사람에게 호스팅 영역에 대한 다른 레코드로 작업할 책임이 있을 수 있습니다. IAM 정책 예제는 도메인 레코드 소유자에 대한 사용 권한 예제 섹션을 참조하세요.
-
TLD에 DNSSEC 지원이 있는지 확인하려면 Amazon Route 53에 등록할 수 있는 도메인 섹션을 참조하세요.
주제
