Solução de problemas de DNSSEC assinatura

As informações nesta seção podem ajudá-lo a resolver problemas com a DNSSEC assinatura, incluindo ativação, desativação e com suas chaves de assinatura de chave (). KSKs

Habilitando DNSSEC

Certifique-se de ter lido os pré-requisitos Configurando a DNSSEC assinatura no Amazon Route 53 antes de começar a ativar a assinatura. DNSSEC

Desativando DNSSEC

Para desativar com segurançaDNSSEC, o Route 53 verificará se a zona de destino está na cadeia de confiança. Ele verifica se o pai da zona de destino tem algum registro NS da zona de destino e registros DS da zona de destino. Se a zona de destino não puder ser resolvida publicamente, por exemplo, obtendo uma SERVFAIL resposta ao consultar NS e DS, o Route 53 não poderá determinar se é seguro desativá-la. DNSSEC Você pode entrar em contato com sua zona principal para corrigir esses problemas e tentar desabilitar DNSSEC novamente mais tarde.

KSKstatus é Ação necessária

A KSK pode alterar seu status para Ação necessária (ou ACTION_NEEDED em um KeySigningKeystatus), quando o Route 53 DNSSEC perde o acesso a uma correspondente AWS KMS key (devido a uma alteração nas permissões ou AWS KMS key exclusão).

Se o status de a KSK for Ação necessária, isso significa que, eventualmente, isso causará uma interrupção na zona para clientes que usam resolvedores de DNSSEC validação e você deve agir rapidamente para evitar que uma zona de produção fique sem solução.

Para corrigir o problema, certifique-se de que a chave gerenciada pelo cliente na qual a sua se baseia KSK esteja ativada e tenha as permissões corretas. Para mais informações sobre as permissões necessárias, consulte Permissões de chave gerenciadas pelo cliente do Route 53 necessárias para DNSSEC assinatura.

Depois de corrigir oKSK, ative-o novamente usando o console ou o AWS CLI, conforme descrito emEtapa 2: ativar a DNSSEC assinatura e criar um KSK.

Para evitar esse problema no futuro, considere adicionar uma Amazon CloudWatch métrica para rastrear o estado do, KSK conforme sugerido emConfigurando a DNSSEC assinatura no Amazon Route 53.

KSKo status é Falha interna

Quando a KSK tem um status de falha interna (ou INTERNAL_FAILURE em um KeySigningKeystatus), você não pode trabalhar com nenhuma outra DNSSEC entidade até que o problema seja resolvido. Você deve agir antes de poder trabalhar com a DNSSEC assinatura, inclusive trabalhando com essa KSK ou outraKSK.

Para corrigir o problema, tente novamente ativar ou desativar o. KSK

Para corrigir o problema ao trabalhar com oAPIs, tente ativar a assinatura (EnableHostedZoneDNSSEC) ou desativar a assinatura (DisableHostedZoneDNSSEC).

É importante que você corrija os problemas de Internal failure (Falha interna) prontamente. Você não pode fazer outras alterações na zona hospedada até que você corrija o problema, exceto as operações para corrigir a Internal failure (Falha interna).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

DNSSECprovas de inexistência no Route 53

Usar o AWS Cloud Map para criar registros e verificações de integridade