本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 Amazon Route 53 中設定 DNSSEC 簽署 網域名稱系統安全延伸 (DNSSEC) 簽署可讓 DNS 解析程式驗證 DNS 回答是否來自 Amazon Route 53,並且未遭到竄改。當您使用 DNSSEC 簽署時,託管區域的每個回應都會使用公有金鑰密碼編譯來簽署。如需 DNSSEC 的概觀,請參閱 [AWS re:Invent 2021 - Amazon Route 53: A year in review](https://www.youtube.com/watch?v=77V23phAaAE) 的 DNSSEC 一節。 在本章中,我們將說明如何啟用 Route 53 的 DNSSEC 簽署、如何使用 key-signing keys (金鑰簽署金鑰) (KSK),以及如何排除問題。您可以在 中使用 DNSSEC 簽署, AWS 管理主控台 或以程式設計方式使用 API。如需有關藉助 CLI 或開發套件來使用 Route 53 的詳細資訊,請參閱 [設定 Amazon Route 53](setting-up-route-53.md)。 啟用 DNSSEC 簽署之前,請注意下列事項: + 若要協助防止區域中斷,並避免網域無法使用的問題,您必須快速處理並解決 DNSSEC 錯誤。強烈建議您設定 CloudWatch 提醒,在偵測到 `DNSSECInternalFailure` 或 `DNSSECKeySigningKeysNeedingAction` 錯誤時發出警示。如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控託管區域](monitoring-hosted-zones-with-cloudwatch.md)。 + DNSSEC 中有兩種金鑰:金鑰簽署金鑰 (KSK) 和區域簽署金鑰 (ZSK)。在 Route 53 DNSSEC 簽署中,每個 KSK 均基於您所擁有的 AWS KMS 中的[非對稱客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#asymmetric-keys-concept)。您必須負責 KSK 管理,其中包括在需要時輪換它。ZSK 管理由 Route 53 進行。 + 當您啟用託管區域的 DNSSEC 簽署時,Route 53 會將 TTL 限制為一週。如果您為託管區域中的記錄設定超過一週的 TTL,則不會收到錯誤。不過,Route 53 會為該記錄強制執行一週的 TTL。對於 TTL 不到一週的記錄,以及在未啟用 DNSSEC 簽章的其他託管區域中的記錄,則不會受到影響。 + 當您使用 DNSSEC 簽章時,不支援多廠商組態。如果您已設定白標籤名稱伺服器 (也稱為虛名伺服器或私有名稱伺服器),請確定這些名稱伺服器是由單一 DNS 提供者提供。 + 某些 DNS 提供者在其授權 DNS 中不支援委派簽署人 (DS) 記錄。如果您的父區域是由不支援 DS 查詢 (未在 DS 查詢回應中設定 AA 旗標) 的 DNS 提供者託管,則當您在其子區域中啟用 DNSSEC 時,子區域將會變成無法解析。請確定您的 DNS 供應商支援 DS 記錄。 + 設定 IAM 許可,以允許區域擁有者以外的其他使用者新增或移除區域中的記錄,這樣會很有幫助。例如,區域擁有者可以新增 KSK 並啟用簽署,也可能負責金鑰輪換。不過,其他人可能負責處理該託管區域的其他記錄。如需 IAM 政策範例,請參閱 [網域記錄擁有者的許可範例](access-control-managing-permissions.md#example-permissions-record-owner)。 + 若要檢查 TLD 是否支援 DNSSEC,請參閱 [可向 Amazon Route 53 註冊的網域](registrar-tld-list.md)。 **Topics** + [啟用 DNSSEC 簽署並建立信任鏈](dns-configuring-dnssec-enable-signing.md) + [停用 DNSSEC 簽署](dns-configuring-dnssec-disable.md) + [使用 DNSSEC 的客戶受管金鑰](dns-configuring-dnssec-cmk-requirements.md) + [使用金鑰簽署金鑰 (KSK)](dns-configuring-dnssec-ksk.md) + [Route 53 中的 KMS 金鑰和 ZSK 管理](dns-configuring-dnssec-zsk-management.md) + [DNSSEC 不存在於 Route 53 中的證明](dns-configuring-dnssec-proof-of-nonexistence.md) + [DNSSEC 簽署故障診斷](dns-configuring-dnssec-troubleshoot.md)