Résolution des problèmes de signature DNSSEC

Les informations de cette section peuvent vous aider à résoudre les problèmes liés à la signature DNSSEC, notamment l'activation et la désactivation, avec vos clés KSK.

Activation de la signature DNSSEC

Assurez-vous d'avoir lu les prérequis dans Configuration de la signature DNSSEC dans Amazon Route 53 avant de commencer activer la signature DNSSEC.

Désactivation de la signature DNSSEC

Afin de désactiver la signature DNSSEC en toute sécurité, Route 53 vérifiera si la zone cible se trouve dans la chaîne d'approbation. Il vérifie si le parent de la zone cible possède des enregistrements NS de la zone cible et des enregistrements DS de la zone cible. Si la zone cible ne peut pas être résolue publiquement, par exemple si vous recevez une réponse SERVFAIL lors d'une requête pour NS et DS, Route 53 ne peut pas déterminer s'il est prudent de désactiver la signature DNSSEC. Vous pouvez contacter votre zone parent pour résoudre ces problèmes et réessayer de désactiver la signature DNSSEC ultérieurement.

Le statut de la clé KSK est Action needed (Action requise)

Un KSK peut changer son statut en Action nécessaire (ou ACTION_NEEDED en KeySigningKeystatut), lorsque Route 53 DNSSEC perd l'accès à un correspondant AWS KMS key (en raison d'une modification des autorisations ou AWS KMS key d'une suppression).

Si le statut d'un KSK est Action needed (Action requise), cela signifie qu'il finira par provoquer une panne de zone pour les clients utilisant des résolveurs de validation DNSSEC et que vous devez agir rapidement pour éviter qu'une zone de production ne devienne impossible à résoudre.

Pour corriger le problème, assurez-vous que la clé gérée par le client sur laquelle votre clé KSK est basée est activée et qu'elle dispose des autorisations appropriées. Pour plus d'informations sur les autorisations requises, consultez Autorisations de clé gérées par le client Route 53 requises pour la signature DNSSEC.

Après avoir corrigé le KSK, réactivez-le à l'aide de la console ou du AWS CLI, comme décrit dansÉtape 2 : Activer la signature DNSSEC et créer une clé KSK.

Pour éviter ce problème à l'avenir, pensez à ajouter une Amazon CloudWatch métrique pour suivre l'état du KSK, comme suggéré dansConfiguration de la signature DNSSEC dans Amazon Route 53.

Le statut de la clé KSK est Internal failure (Échec interne)

Lorsqu'un KSK présente un état de défaillance interne (ou INTERNAL_FAILURE un KeySigningKeyétat), vous ne pouvez pas travailler avec d'autres entités DNSSEC tant que le problème n'est pas résolu. Vous devez prendre des mesures avant de pouvoir utiliser la signature DNSSEC, y compris avant d'utiliser cette clé KSK ou votre autre clé KSK.

Pour corriger le problème, essayez à nouveau d'activer ou de désactiver la clé KSK.

Pour résoudre le problème lorsque vous utilisez les API, essayez d'activer la signature (EnableHostedZoneDNSSEC) ou de désactiver la signature (DisableHostedZoneDNSSEC).

Il est important que vous corrigiez rapidement les problèmes Internal failure (Échec interne). Vous ne pouvez pas apporter d'autres modifications à la zone hébergée tant que vous n'avez pas corrigé le problème, à l'exception des opérations visant à résoudre le problème Internal failure (Échec interne).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Preuves DNSSEC d'inexistence dans Route 53

Utilisation de AWS Cloud Map pour créer des enregistrements et des vérifications d’état