Activation de la validation DNSSEC dans Amazon Route 53

Lorsque vous activez la validation DNSSEC pour un cloud privé virtuel (VPC) dans Amazon Route 53, les signatures DNSSEC sont vérifiées cryptographiquement pour s'assurer que la réponse n'a pas été altérée. Vous activez la validation DNSSEC sur la page détaillée de votre VPC.

La validation DNSSEC est appliquée par le résolveur de Route 53 aux noms signés publics lorsqu'il effectue une résolution DNS récursive.

Toutefois, si le résolveur de Route 53 est transféré vers un autre résolveur DNS, ce résolveur effectue une résolution DNS récursive et doit donc également appliquer la validation DNSSEC.

Important

L'activation de la validation DNSSEC peut affecter la résolution DNS pour les registres DNS publics de ressources AWS dans un VPC, ce qui pourrait entraîner une panne. Sachez que l'activation ou la désactivation de la validation DNSSEC peut prendre plusieurs minutes.

Note

À l'heure actuelle, le Amazon Route 53 Resolver bit d'en-tête EDNS de votre VPC (alias AmazonProvided DNS) ignore le bit d'en-tête EDNS DO (DNSSEC OK) et le bit CD (Checking Disabled) de la requête DNS. Si vous avez configuré DNSSEC, cela signifie que, bien que Route 53 Resolver effectue la validation DNSSEC, il ne renvoie pas les enregistrements DNSSEC et n'active pas le bit AD dans la réponse. Par conséquent, l'exécution de votre propre validation DNSSEC n'est pas actuellement prise en charge par Route 53 Resolver. Si vous devez le faire, vous devrez effectuer votre propre résolution DNS récursive.

Pour activer la validation DNSSEC pour un VPC

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

2. Dans le panneau de navigation, sousRésolveur, choisissezVPC.

3. Sous validation DNSSEC, cochez la case. Si la case est déjà cochée, vous pouvez la désactiver pour désactiver la validation DNSSEC.

   Sachez que l'activation ou la désactivation de la validation DNSSEC peut prendre plusieurs minutes.