本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 防止在 Route 53 中懸置委派記錄
<a name="protection-from-dangling-dns"></a>

透過 Route 53，客戶可以建立託管區域，例如 `example.com`，以託管其 DNS 記錄。每個託管區域都有一個「委派集」，這是一組四個名稱伺服器，客戶可用來設定父網域中的 NS 記錄。這些 NS 記錄可以稱為「委派 NS 記錄」或「委派記錄」。

為了讓 `example.com` Route 53 託管區域成為授權，`example.com`網域的合法擁有者需要透過網域註冊商在其「.com」父系網域中設定委派記錄。如果客戶無法存取父系網域中設定的四個名稱伺服器，例如，因為關聯的託管區域已刪除，它可能會產生攻擊者可以利用的風險。這稱為「懸置委派記錄」風險。

在刪除託管區域的情況下，Route 53 可避免懸置委派記錄風險。刪除後，如果使用相同的網域名稱建立新的託管區域，Route 53 會檢查指向已刪除託管區域的委派記錄是否仍存在於父網域中。如果是，Route 53 將防止指派任何重疊的名稱伺服器。這是下列範例中的案例 1。

不過，還有其他懸置委派記錄風險，Route 53 無法防範，如下列範例中案例 2 到 5 所述。為了保護自己免於此更廣泛的風險，請確定父 NS 記錄符合 Route 53 託管區域的委派集。您可以透過 Route 53 主控台或 找到託管區域的委派集 AWS CLI。如需詳細資訊，請參閱 [列出記錄](resource-record-sets-listing.md) 或 [get-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/route53/get-hosted-zone.html)。

此外，啟用 Route 53 託管區域的 DNSSEC 簽署可作為上述最佳實務以外的另一層保護。DNSSEC 會驗證 DNS 答案來自授權來源，有效防範此風險。如需更多資訊，請參閱[在 Amazon Route 53 中設定 DNSSEC 簽署](dns-configuring-dnssec.md)。

## 範例
<a name="protection-from-dangling-dns-examples"></a>

在下列範例中，我們假設您有一個網域 `example.com`及其子網域 `child.example.com`。我們將在各種情況下解釋如何建立懸置委派記錄、Route 53 如何保護您的網域免受濫用，以及如何有效地降低懸置委派記錄的相關風險。

**方案 1：**  
您可以使用`child.example.com`四個名稱伺服器建立託管區域：<ns1>、<ns2>、<ns3> 和 <ns4>。您可以在託管區域 中正確設定委派`example.com`，`child.example.com`使用四個名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 建立 的委派 NS 記錄。在未移除 中的委派 NS 記錄的情況下刪除`child.example.com`託管區域時`example.com`，Route 53 會防止 <ns1>、<ns2>、<ns3> 和 <ns4> `child.example.com` 指派給具有相同網域名稱的新建立託管區域，以防止懸置委派記錄風險。

**方案 2：**  
與案例 1 類似，但這次您刪除子託管區域和託管區域中的委派 NS 記錄`example.com`。不過，您可以新增回溯委派 NS 記錄 <ns1>、<ns2>、<ns3> 和 <ns4>，而無需建立子託管區域。在這裡，<ns1>、<ns2>、<ns3> 和 <ns4> 正在懸置委派記錄，因為 Route 53 會移除保留，防止 <ns1>、<ns2>、<ns3> 和 <ns4> 指派，現在允許新建立的託管區域使用上述名稱伺服器。若要緩解風險，請從委派記錄中移除 <ns1>、<ns2>、<ns3> 和 <ns4>，並只在建立子託管區域之後新增它們。

**案例 3：**  
在此案例中，您會建立名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4> 的 Route 53 可重複使用委派集。然後，您將網域委派`example.com`給父系網域 中的這些名稱伺服器`.com`。不過，您尚未在可重複使用委派集`example.com`上建立 的託管區域。在這裡，<ns1>、<ns2>、<ns3> 和 <ns4> 正在懸置委派記錄。若要降低風險，請使用可重複使用的委派集建立託管區域，其中包含名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>。

**案例 4：**  
您可以使用`child.example.com`名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>，以及`grandchild.child.example.com`名稱伺服器 <ns5>、<ns6>、<ns7> 和 <ns8>，為兩者建立託管區域。不過，您直接在區域中委派兩者`example.com`，這會產生懸置委派風險。為了確保委派遵循適當的 DNS 階層，請僅透過其直接父區域委派子網域。例如，如果您想要委派 `grandchild.child.example.com`：首先委派 `example.com`區域中`child.example.com`的名稱伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>，然後委派 `child.example.com`區域中`grandchild.child.example.com`的名稱伺服器 <ns5>、<ns6>、<ns7> 和 <ns8>，並從`grandchild.child.example.com``example.com`區域移除 的任何直接委派。

**案例 5：**  
在建立對應的託管區域之前，您可以將網域或子網域委派給 Route 53 名稱伺服器，這會建立懸置委派記錄。這與案例 3 中的案例類似，但在未建立可重複使用的委派集時，風險也適用。例如，您將網域委派`example.com`給父系網域 中的伺服器 <ns1>、<ns2>、<ns3> 和 <ns4>`.com`，但這些名稱伺服器從未託管 `example.com`。Route 53 無法對此進行保護，因為沒有託管區域存在，無法在這些名稱伺服器上為該網域名稱建立保留。為了降低風險，僅委派至屬於您控制之公有託管區域的 Route 53 名稱伺服器。