本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon Route 53 中配置DNSSEC登录
域名系统安全扩展 (DNSSEC) 签名允许DNS解析人员验证DNS响应是否来自 Amazon Route 53 且未被篡改。使用DNSSEC签名时,托管区域的每个响应都使用公钥加密进行签名。有关概述DNSSEC,请参阅 re AWS : Invent 2021-Amazon Route 53:年度
在本章中,我们将说明如何为 Route 53 启用DNSSEC签名、如何使用密钥签名密钥 (KSKs) 以及如何解决问题。您可以使用DNSSEC登录 AWS Management Console 或以编程方式使用。API有关使用CLI或SDKs与 Route 53 配合使用的更多信息,请参阅设置 Amazon Route 53。
在启用DNSSEC签名之前,请注意以下几点:
为了帮助防止区域中断并避免域名不可用时出现问题,您必须快速处理和解决DNSSEC错误。我们强烈建议您设置 CloudWatch 警报,在检测到
DNSSECInternalFailure或DNSSECKeySigningKeysNeedingAction错误时提醒您。有关更多信息,请参阅 使用 Amazon 监控托管区域 CloudWatch。中有两种密钥DNSSEC:密钥签名密钥 (KSK) 和区域签名密钥 ()。ZSK在 Route 53 DNSSEC 签名中KSK,每个签名都基于您拥有的非对称客户托管密钥。 AWS KMS 您负责KSK管理,包括在需要时进行轮换。ZSK管理由 53 号公路执行。
当您为托管区域启用DNSSEC签名功能时,Route 53 会将签名限制TTL为一周。如果您将托管区域中的记录设置为超过一周,则不会出现错误。TTL但是,53号公路强制执行为TTL期一周的记录。存放时间少于一周TTL的记录以及其他托管区域中未启用DNSSEC签名的记录不受影响。
使用DNSSEC签名时,不支持多供应商配置。如果您配置了白标域名服务器(也称为虚名服务器或私人名称服务器),请确保这些名称服务器由单个DNS提供商提供。
-
一些DNS提供商不支持授权签名者 (DS) 记录的权威DNS记录。如果您的父区域由不支持 DS 查询(未在 DS 查询响应中设置 AA 标志)的DNS提供商托管,那么当您在其子区域DNSSEC中启用时,子区域将变得无法解析。确保您的DNS提供商支持 DS 记录。
设置IAM权限以允许除区域所有者之外的其他用户在区域中添加或删除记录会很有帮助。例如,区域所有者可以添加KSK并启用签名,还可能负责密钥轮换。但是,其他人可能负责使用托管区域的其它记录。有关IAM策略的示例,请参阅域记录所有者的权限示例。
-
要查看是否TLD有DNSSEC支持,请参阅可向 Amazon Route 53 注册的域。
主题
