在 Amazon Route 53 中启用DNSSEC验证 - Amazon Route 53

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Route 53 中启用DNSSEC验证

当您在 Amazon Route 53 中为虚拟私有云 (VPC) 启用DNSSEC验证时,会对DNSSEC签名进行加密检查,以确保响应未被篡改。您可以在VPC详情页面上启用DNSSEC验证。

DNSSECRoute 53 Resolver 在执行递归DNS解析时将验证应用于公共签名名称。

但是,如果 Route 53 解析器正在转发给另一个DNS解析器,则该解析器正在执行递归解DNS析,因此还必须应用验证。DNSSEC

重要

启用DNSSEC验证可能会影响来自 AWS 资源中的公共DNS记录的DNS解析VPC,从而可能导致中断。请注意,启用或禁用DNSSEC验证可能需要几分钟。

注意

此时,你的VPC(又名 AmazonProvidedDNS)会忽略DNS查询 Amazon Route 53 Resolver 中的 DO(DNSSECOK)EDNS标头位和 CD(Checking Disabled)位。如果您已配置DNSSEC,这意味着 Route 53 解析器确实执行DNSSEC验证,但它不会返回DNSSEC记录,也不会在响应中设置 AD 位。因此,Route 53 解析器目前不支持您自己进行DNSSEC验证。如果你需要这样做,你必须自己执行递归DNS解析。

为启用DNSSEC验证 VPC

  1. 登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格的 “解析器” 下,选择VPCs

  3. 在 “DNSSEC验证” 下,选中复选框。如果已选中该复选框,则可以将其清除以禁用DNSSEC验证。

    请注意,启用或禁用DNSSEC验证可能需要几分钟。