在 Amazon Route 53 中啟用 DNSSEC 驗證 - Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Route 53 中啟用 DNSSEC 驗證

當您在 Amazon Route 53 中針對 Virtual Private Cloud (VPC) 啟用 DNSSEC 驗證時,會以密碼編譯方式檢查 DNSSEC 簽章,以確保回應未遭竄改。您可以在 VPC 詳細資料頁面上啟用 DNSSEC 驗證。

DNSSEC 驗證會在執行遞迴 DNS 解析時,由 Route 53 Resolver 套用至公用簽署名稱。

不過,如果 Route 53 Resolver 正在轉送至另一個 DNS 解析程式,而該解析程式正在執行遞迴 DNS 解析,那麼也必須套用 DNSSEC 驗證。

重要

啟用 DNSSEC 驗證可能會影響來自 VPC 中 AWS 資源的公有 DNS 記錄的 DNS 解析,這可能會導致中斷。請注意,啟用或停用 DNSSEC 驗證需要幾分鐘的時間。

注意

此時,VPC Amazon Route 53 Resolver 中的 (也稱為 AmazonProvidedDNS) 會忽略 DNS 查詢中的 DO (DNSSEC OK) EDNS 標頭位元和 CD (Checking Disabled) 位元。如果您已設定 DNSSEC,這意味著雖然 Route 53 Resolver 確實已執行 DNSSEC 驗證,但它並未返回 DNSSEC 記錄,也未在回應中設定 AD 位元。因此,Route 53 Resolver 當前不支援執行自己的 DNSSEC 驗證。如果您需要這樣做,則需要執行自己的遞迴 DNS 解析。

啟用 VPC 的 DNSSEC 驗證

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中的 Resolver 下,選擇 VPC

  3. DNSSEC 驗證下方,選取核取方塊。如果已選取核取方塊,您可以取消選取此核取方塊以停用 DNSSEC 驗證。

    請注意,啟用或停用 DNSSEC 驗證需要幾分鐘的時間。