本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Route 53 中設定 DNSSEC 簽署
Domain Name System Security Extensions (DNSSEC) 簽署可讓 DNS 解析程式驗證 DNS 回應是否來自 Amazon Route 53,且尚未遭到竄改。當您使用 DNSSEC 簽署時,託管區域的每個回應都會使用公有金鑰密碼編譯進行簽署。如需 DNSSEC 的概觀,請參閱 AWS re:Invent 2021 - Amazon Route 53:審核中的一年
在本章中,我們會說明如何啟用 Route 53 的 DNSSEC 簽署、如何使用金鑰簽署金鑰 (KSKs),以及如何疑難排解問題。您可以在 中使用 DNSSEC 簽署, AWS Management Console 或以程式設計方式使用 API。如需使用 CLI 或 SDKs 搭配 Route 53 使用的詳細資訊,請參閱 設定 Amazon Route 53。
啟用 DNSSEC 簽署之前,請注意下列事項:
為了協助防止區域中斷並避免網域無法使用的問題,您必須快速解決並解決 DNSSEC 錯誤。我們強烈建議您設定 a CloudWatch 警示,以便在偵測到
DNSSECInternalFailure或DNSSECKeySigningKeysNeedingAction錯誤時提醒您。如需詳細資訊,請參閱使用 Amazon 監控託管區域 CloudWatch。DNSSEC 中有兩種金鑰:金鑰簽署金鑰 (KSK) 和區域簽署金鑰 (ZSK)。在 Route 53 DNSSEC 簽署中,每個 KSK 都是以您擁有的非 AWS KMS 對稱客戶受管金鑰為基礎。您要負責 KSK 管理,其中包括視需要輪換。ZSK 管理由 Route 53 執行。
當您為託管區域啟用 DNSSEC 簽署時,Route 53 會將 TTL 限制為一週。如果您為託管區域中的記錄設定超過一週的 TTL,則不會收到錯誤。不過,Route 53 會強制執行記錄一週的 TTL。如果記錄的 TTL 少於一週,且其他託管區域中的記錄未啟用 DNSSEC 簽署,則不會受到影響。
當您使用 DNSSEC 簽署時,不支援多供應商組態。如果您已設定白標籤名稱伺服器 (也稱為清真名稱伺服器或私有名稱伺服器),請確定這些名稱伺服器是由單一 DNS 供應商提供。
-
有些 DNS 供應商不支援其權威 DNS 中的委派簽署人 (DS) 記錄。如果您的父區域由不支援 DS 查詢的 DNS 提供者託管 (在 DS 查詢回應中不設定 AA 旗標),則當您在其子區域中啟用 DNSSEC 時,子區域將無法解析。確保您的 DNS 供應商支援 DS 記錄。
除了區域擁有者之外,設定 IAM 許可以允許另一個使用者在區域中新增或移除記錄,可能會有所幫助。例如,區域擁有者可以新增 KSK 並啟用簽署,也可能負責金鑰輪換。不過,其他人可能負責處理該託管區域的其他記錄。如需 IAM 政策範例,請參閱 網域記錄擁有者的許可範例。
-
若要檢查 TLD 是否支援 DNSSEC,請參閱 可向 Amazon Route 53 註冊的域。
主題
