本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon 路線 53 中配置DNSSEC簽名
網域名稱系統安全擴充 (DNSSEC) 簽署可讓DNS解析程式驗證DNS回應來自 Amazon Route 53 且未遭竄改。當您使用DNSSEC簽署時,託管區域的每個回應都會使用公開金鑰加密來簽署。有關概述DNSSEC,請參DNSSEC閱「AWS 重新發明 2021-Amazon 路線 53:回顧一年
在本章中,我們將說明如何啟用 Route 53 的DNSSEC簽署、如何使用金鑰簽署金鑰 (KSKs),以及如何疑難排解問題。您可以使用DNSSEC登入 AWS Management Console 或以程式設計方式使用API. 如需使用CLI或使用 Route 53 SDKs 的詳細資訊,請參閱設定 Amazon Route 53。
啟用DNSSEC簽署之前,請注意下列事項:
為了防止區域中斷並避免網域無法使用的問題,您必須快速解決並解決DNSSEC錯誤。我們強烈建議您設定警示,以便在偵測到
DNSSECInternalFailure或DNSSECKeySigningKeysNeedingAction錯誤時向您發出警示。 CloudWatch 如需詳細資訊,請參閱使用 Amazon 監控託管區域 CloudWatch。中有兩種金鑰DNSSEC:金鑰簽署金鑰 (KSK) 和區域簽署金鑰 ()。ZSK在 Route 53 DNSSEC 簽署中,每個金鑰都KSK是以您擁有的非對稱客戶管理金鑰 AWS KMS 為基礎。您負責KSK管理,其中包括在需要時進行旋轉。ZSK管理由 53 號公路進行。
當您啟用託管區域的DNSSEC簽署功能時,Route 53 TTL 將限制為一週。如果您為託管區域中TTL的記錄設定超過一週的時間,就不會收到錯誤訊息。但是,53 號公路強制執行TTL記錄為期一周的時間。不到一週TTL的記錄以及其他託管區域中未啟用DNSSEC簽署的記錄不會受到影響。
使用DNSSEC簽署時,不支援多廠商組態。如果您已設定白標名稱伺服器 (也稱為虛名名稱伺服器或私人名稱伺服器),請確定這些名稱伺服器是由單一提供DNS者所提供。
-
某些DNS提供者不支援其授DNS權的「委派簽署者」(DS) 記錄。如果您的父區域由不支援 DS 查詢 (未在 DS 查詢回應中設定 AA 旗標) 的DNS提供者託管,則當您DNSSEC在其子區域中啟用時,子區域將變為無法解析。請確定您的DNS提供者支援 DS 記錄。
設定IAM權限可讓區域擁有者以外的其他使用者新增或移除區域中的記錄會很有幫助。例如,區域擁有者可以新增KSK並啟用簽署,也可能負責金鑰輪換。不過,其他人可能負責處理該託管區域的其他記錄。如需IAM原則範例,請參閱網域記錄擁有者的許可範例。
-
若要檢查是否TLD有DNSSEC支援,請參閱可向 Amazon Route 53 註冊的域。
主題
