Configuration de la connexion DNSSEC Amazon Route 53 - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la connexion DNSSEC Amazon Route 53

La signature DNSSEC (Domain Name System Security Extensions) permet aux résolveurs DNS de valider qu'une réponse DNS provient d' Amazon Route 53 et n'a pas été falsifiée. Lorsque vous utilisez la signature DNSSEC, chaque réponse pour une zone hébergée est signée à l'aide du chiffrement de clé publique.

Dans ce chapitre, nous expliquons comment activer la signature DNSSEC pour Route 53, comment utiliser les clés de signature de clé (KSKs) et comment résoudre les problèmes. Vous pouvez utiliser la signature DNSSEC dans ou par AWS Management Console programmation avec l'API . Pour plus d'informations sur l'utilisation de l'interface de ligne de commande pour configurer la signature DNSSEC, consultez Utilisation de AWS l'interface de ligne de commande pour activer la signature DNSSEC. Pour plus d'informations sur l'utilisation de l'interface de ligne de commande ou SDKs de l' pour travailler avec Route 53, consultez Configuration d’Amazon Route 53.

L'activation de la signature DNSSEC se fait en deux étapes :

  • Étape 1 : Activer la signature DNSSEC pour Route 53et demander à de Route 53 créer une clé de signature de clé (KSK) basée sur une clé principale client (CMK) gérée par le client dans AWS Key Management Service (AWS KMS).

  • Étape 2 : Créez une chaîne de confiance pour la zone hébergée en ajoutant un enregistrement Delegation Signer (DS) à la zone parent, afin que les réponses DNS puissent être authentifiées à l'aide de signatures de chiffrement approuvées.

Les instructions pour effectuer chacune de ces étapes sont incluses dans ce chapitre, dans la section Activation de la signature DNSSEC et établissement d'une chaîne de confiance.

Avant d'activer la signature DNSSEC, notez les points suivants :

  • Pour éviter une panne de zone et éviter que des problèmes liés à votre domaine deviennent indisponibles, vous devez rapidement traiter et résoudre les erreurs DNSSEC. Nous vous recommandons vivement de configurer une CloudWatch alarme qui vous avertit chaque fois qu'une DNSSECInternalFailure erreur DNSSECKeySigningKeysNeedingAction ou est détectée. Pour plus d'informations, consultez Surveillance des zones hébergées à l'aide de Amazon CloudWatch.

  • Il existe deux types de clés dans DNSSEC : une clé de signature de clé (KSK) et une clé de signature de zone (ZSK). Dans la signature Route 53 DNSSEC, chaque KSK est basée sur une clé CMK https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#asymmetric-cmks asymétrique dans AWS KMS que vous possédez. Vous êtes responsable de la gestion des KSK, ce qui inclut sa rotation si nécessaire. La gestion ZSK est effectuée par Route 53.

  • Lorsque vous activez la signature DNSSEC pour une zone hébergée, Route 53 limite la durée de vie à une semaine. Si vous définissez une durée de vie de plus d'une semaine pour les enregistrements de la zone hébergée, vous n'obtenez pas d'erreur. Cependant, Route 53 applique une durée de vie d'une semaine pour les enregistrements. Les enregistrements ayant une durée de vie inférieure à une semaine et les enregistrements dans d'autres zones hébergées pour lesquelles la signature DNSSEC n'est pas activée ne sont pas affectés.

  • Lorsque vous utilisez la signature DNSSEC, les configurations multi-vendeurs ne sont pas prises en charge.

  • Il peut être utile de configurer IAM des autorisations pour permettre à un autre utilisateur, outre le propriétaire de la zone, d'ajouter ou de supprimer des enregistrements dans la zone. Par exemple, un propriétaire de zone peut ajouter un KSK et activer la signature, et peut également être responsable de la rotation des clés. Cependant, quelqu'un d'autre peut être responsable de l'utilisation d'autres enregistrements pour la zone hébergée. Pour consulter un exemple de stratégie IAM, veuillez consulter Exemple d'autorisations pour un propriétaire d'enregistrement de domaine.