As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As informações nesta seção podem ajudá-lo a resolver problemas com a assinatura do DNSSEC, incluindo ativação, desativação e com suas chaves de assinatura de chaves (). KSKs
- Como habilitar DNSSEC
Certifique-se de ler os prerrequisitos em Como configurar a assinatura de DNSSEC no Amazon Route 53 antes de começar a habilitar assinatura DNSSEC.
- Como desabilitar DNSSEC
Para desabilitar o DNSSEC com segurança, o Route 53 verificará se a zona de destino está na cadeia de confiança. Ele verifica se o pai da zona de destino tem algum registro NS da zona de destino e registros DS da zona de destino. Se a zona de destino não puder ser resolvida publicamente, por exemplo, obtendo uma resposta SERVFAIL ao consultar NS e DS, o Route 53 não poderá determinar se é seguro desabilitar o DNSSEC. Você pode entrar em contato com sua zona pai para corrigir esses problemas e tentar desabilitar o DNSSEC novamente mais tarde.
- O status da KSK é Action needed (Ação necessária)
Uma KSK pode mudar seu status para Ação necessária (ou
ACTION_NEEDEDem um KeySigningKeystatus) quando o Route 53 DNSSEC perde acesso a uma correspondente AWS KMS key (devido a uma alteração nas permissões ou AWS KMS key exclusão).Se o status de uma KSK for Action needed (Ação necessária), significa que, eventualmente, ele causará uma interrupção de zona para clientes que usam resolvedores de validação de DNSSEC, e você deverá agir rapidamente para evitar que uma zona de produção se torne incapaz de ser resolvida.
Para corrigir o problema, certifique-se de que a chave gerenciada pelo cliente na qual a KSK se baseia está habilitada e tem as permissões corretas. Para mais informações sobre as permissões necessárias, consulte Permissões de chave gerenciada pelo cliente do Route 53 necessárias para assinatura DNSSEC.
Depois de corrigir o KSK, ative-o novamente usando o console ou o AWS CLI, conforme descrito emEtapa 2: Habilitar a assinatura de DNSSEC e criar uma KSK.
Para evitar esse problema no futuro, considere adicionar uma Amazon CloudWatch métrica para rastrear o estado do KSK, conforme sugerido emComo configurar a assinatura de DNSSEC no Amazon Route 53.
- O status da KSK é Internal failure (Falha interna)
-
Quando uma KSK tem um status de falha interna (ou
INTERNAL_FAILUREem um KeySigningKeystatus), você não pode trabalhar com nenhuma outra entidade do DNSSEC até que o problema seja resolvido. Você deve tomar medidas antes de poder trabalhar com a assinatura de DNSSEC, inclusive trabalhar com esta KSK ou com outra KSK.Para corrigir o problema, tente novamente habilitar ou desabilitar a KSK.
Para corrigir o problema ao trabalhar com o APIs, tente ativar a assinatura (EnableHostedZoneDNSSEC) ou desativar a assinatura (DisableHostedZoneDNSSEC).
É importante que você corrija os problemas de Internal failure (Falha interna) prontamente. Você não pode fazer outras alterações na zona hospedada até que você corrija o problema, exceto as operações para corrigir a Internal failure (Falha interna).
