Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53
Penandatanganan Domain Name System Security Extensions (DNSSEC) memungkinkan penyelesai DNS memvalidasi bahwa respons DNS berasal dari Amazon Route 53 dan belum diubah. Ketika Anda menggunakan penandatanganan DNSSEC, setiap respons untuk zona yang di-hosting ditandatangani menggunakan kriptografi kunci publik.
Dalam Bab ini, kami menjelaskan cara mengaktifkan penandatanganan DNSSEC untuk Route 53, cara bekerja dengan kunci penandatanganan kunci (KSK), dan cara memecahkan masalah. Anda dapat bekerja dengan penandatanganan DNSSEC AWS Management Console atau secara terprogram dengan API. Untuk informasi selengkapnya tentang menggunakan CLI atau SDK untuk bekerja dengan Route 53, lihat Menyiapkan Amazon Route 53.
Sebelum Anda mengaktifkan penandatangan DNSSEC, perhatikan hal berikut:
Untuk membantu mencegah pemadaman zona dan menghindari masalah dengan domain yang menjadi tidak tersedia, Anda harus cepat mengatasi dan menyelesaikan kesalahan DNSSEC. Kami sangat menyarankan agar Anda mengatur CloudWatch alarm yang memberi tahu Anda setiap kali
DNSSECKeySigningKeysNeedingActionkesalahanDNSSECInternalFailureatau terdeteksi. Untuk informasi selengkapnya, lihat Memantau zona yang dihosting menggunakan Amazon CloudWatch.Ada dua jenis kunci dalam DNSSEC: kunci penandatanganan kunci (KSK) dan kunci penandatanganan zona (ZSK). Dalam penandatanganan DNSSEC Route 53, setiap KSK didasarkan pada kunci yang dikelola pelanggan asimetris yang Anda miliki. AWS KMS Anda bertanggung jawab atas manajemen KSK, yang mencakup rotasi jika diperlukan. Manajemen ZSK dilakukan oleh Route 53.
Jika Anda mengaktifkan penandatanganan DNSSEC untuk zona yang di-hosting, Route 53 membatasi TTL menjadi satu minggu. Jika Anda menetapkan TTL lebih dari satu minggu untuk catatan di zona yang di-hosting, Anda tidak akan mendapatkan kesalahan. Namun, Route 53 memberlakukan TTL selama satu minggu untuk catatan. Catatan yang memiliki TTL kurang dari satu minggu dan catatan di zona yang di-hosting lain dengan penandatangan DNSSEC yang dinonktifkan tidak akan terpengaruh.
Ketika Anda menggunakan penandatanganan DNSSEC, konfigurasi multi-vendor tidak didukung. Jika Anda telah mengonfigurasi server nama label putih (juga dikenal sebagai server nama vanity atau server nama pribadi), pastikan server nama tersebut disediakan oleh penyedia DNS tunggal.
-
Beberapa penyedia DNS tidak mendukung catatan Delegation Signer (DS) dalam DNS otoritatif mereka. Jika zona induk Anda di-host oleh penyedia DNS yang tidak mendukung kueri DS (tidak menyetel tanda AA dalam respons kueri DS), maka saat Anda mengaktifkan DNSSEC di zona turunannya, zona anak akan menjadi tidak dapat diselesaikan. Pastikan penyedia DNS Anda mendukung catatan DS.
Hal ini dapat membantu untuk menyiapkan izin IAM guna mengizinkan pengguna lain, selain pemilik zona, untuk menambah atau menghapus catatan di zona. Sebagai contoh, pemilik zona dapat menambahkan KSK dan mengaktifkan penandatanganan, dan mungkin juga bertanggung jawab atas rotasi kunci. Namun, orang lain mungkin bertanggung jawab untuk bekerja dengan catatan lain pada zona yang di-hosting. Untuk contoh kebijakan IAM, lihat Contoh izin untuk pemilik catatan domain .
Topik
- Mengaktifkan penandatanganan DNSSEC dan membuat rantai kepercayaan
- Menonaktifkan penandatanganan DNSSEC
- Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC
- Bekerja dengan kunci penandatanganan kunci (KSK)
- Kunci KMS dan manajemen ZSK di Rute 53
- Bukti DNSSEC tentang ketidakberadaan di Route 53
- Memecahkan masalah penandatanganan DNSSEC
