Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de la firma de DNSSEC en Amazon Route 53
La firma de extensiones de seguridad del sistema de nombres de dominio (DNSSEC: Domain Name System Security Extensions), permite a los solucionadores de DNS validar que una respuesta DNS proviene de Amazon Route 53 y que no se ha manipulado. Cuando utiliza la firma de DNSSEC, cada respuesta para una zona alojada se firma utilizando criptografía de clave pública.
En este capítulo, explicamos cómo habilitar la firma de DNSSEC para Route 53, cómo trabajar con claves de firma de claves (KSK) y cómo solucionar problemas. Puede trabajar con DNSSEC firmando en la API AWS Management Console o mediante programación con ella. Para obtener más información sobre el uso de la CLI o los SDK para trabajar con Route 53, consulte Configuración de Amazon Route 53.
Antes de habilitar la firma de DNSSEC, tenga en cuenta lo siguiente:
Para ayudar a evitar una interrupción de la zona y problemas de que el dominio deje de estar disponible, debe abordar y resolver rápidamente los errores de DNSSEC. Le recomendamos encarecidamente que configure una CloudWatch alarma que le avise cada vez que se detecte un error
DNSSECInternalFailureoDNSSECKeySigningKeysNeedingActionerror. Para obtener más información, consulte Supervisión de zonas alojadas mediante Amazon CloudWatch.En las DNSSEC hay dos tipos de claves: la clave de firma de claves (KSK) y la clave de firma de zonas (ZSK). En la firma de DNSSEC de Route 53, cada KSK se basa en una clave asimétrica administrada por el cliente en AWS KMS que posea. Usted es responsable de la administración de la KSK, lo que incluye su rotación, en caso de que sea necesario. Route 53 lleva a cabo la administración de ZSK.
Cuando habilita la firma de DNSSEC para una zona alojada, Route 53 limita el TTL a una semana. Si establece un TTL de más de una semana para los registros de la zona alojada, no aparece ningún error. No obstante, Route 53 impone un TTL de una semana para los registros. Los registros que tienen un TTL de menos de una semana y los registros en otras zonas alojadas que no tienen habilitadas la firma DNSSEC no se ven afectados.
Cuando utiliza la firma de DNSSEC, no se admiten configuraciones de varios proveedores. Si ha configurado servidores de nombres de etiqueta blanca (también conocidos como servidores de nombres personalizados o de nombres privados), asegúrese de que estos los proporcione un único proveedor de DNS.
-
Algunos proveedores de DNS no admiten registros de firmantes de delegación (DS) en su DNS autoritativo. Si su zona principal está alojada en un proveedor de DNS que no admite consultas de DS (no establece un indicador AA en la respuesta a la consulta de DS), cuando habilite DNSSEC en su zona secundaria, esta no se podrá resolver. Asegúrese de que su proveedor de DNS admita los registros de DS.
Puede ser útil configurar permisos de IAM para permitir que otro usuario, además del propietario de la zona, agregue o elimine registros en la zona. Por ejemplo, un propietario de zona puede agregar una KSK y habilitar la firma y también puede ser responsable de la rotación de claves. No obstante, otra persona podría ser responsable de trabajar con otros registros para la zona alojada. Para ver una política de IAM de ejemplo, consulte Permisos de ejemplo para el propietario de un registro de dominio.
Temas
- Activar la firma de DNSSEC y establecer una cadena de confianza
- Desactivar la firma de DNSSEC
- Trabajar con claves administradas por el cliente para DNSSEC
- Trabajar con claves de firma de claves (KSK)
- Administración de claves KMS y ZSK en Route 53
- Pruebas de inexistencia de DNSSEC en Route 53
- Solución de problemas de firma de DNSSEC
