Configurazione della firma DNSSEC in Amazon Route 53 - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della firma DNSSEC in Amazon Route 53

La firma DNSSEC (Domain Name System Security Extensions) consente ai resolver DNS di verificare che una risposta DNS proviene da Amazon Route 53 e non è stata manomessa. Quando si utilizza la firma DNSSEC, ogni risposta per una zona ospitata viene firmata utilizzando la crittografia a chiave pubblica.

In questo capitolo viene spiegato come abilitare la firma DNSSEC per la Route 53, come utilizzare le chiavi di firma chiave (KSK) e come risolvere i problemi. Puoi lavorare con DNSSEC accedendo AWS Management Console o programmaticamente con l'API. Per ulteriori informazioni sull'uso della CLI o degli SDK per utilizzare Route 53, consulta Configurazione di Amazon Route 53.

Prima di abilitare la firma DNSSEC, tieni presente quanto segue:

  • Per evitare interruzioni di una zona e che il dominio diventi indisponibile, è necessario risolvere rapidamente gli errori DNSSEC. Ti consigliamo vivamente di impostare un CloudWatch allarme che ti avvisi ogni volta che viene rilevato un DNSSECInternalFailure errore or. DNSSECKeySigningKeysNeedingAction Per ulteriori informazioni, consulta Monitoraggio delle zone ospitate tramite Amazon CloudWatch.

  • Esistono due tipi di chiavi in DNSSEC: una chiave di firma delle chiavi (KSK) e una chiave di firma della zona (ZSK). Nella firma DNSSEC di Route 53, ogni KSK è basata su una chiave asimmetrica gestita dal cliente nella AWS KMS di tua proprietà. Sei responsabile della gestione KSK, che include la rotazione se necessario. La gestione ZSK viene eseguita da Route 53.

  • Quando abiliti la firma DNSSEC per una zona ospitata, Route 53 limita la durata (TTL, Time to Live) a una settimana. Se si imposta un TTL di più di una settimana per i record nella zona ospitata, non viene visualizzato alcun errore. Tuttavia, Route 53 applica un TTL di una settimana per i record. I record con un TTL inferiore a una settimana e i record in altre zone ospitate che non dispongono della firma DNSSEC abilitata non sono interessati.

  • Quando utilizzi la firma DNSSEC, le configurazioni multivendor non sono supportate. Se hai configurato dei server dei nomi white-label (noti anche come server dei nomi vanity o server dei nomi privati), assicurati che siano forniti da un unico provider DNS.

  • Alcuni provider DNS non supportano i record Delegation Signer (DS) nei loro DNS autorevoli. Se la tua zona principale è ospitata da un provider DNS che non supporta le query DS (senza impostare un flag AA nella risposta alla query DS), quando abiliti DNSSEC nella relativa zona figlio, la zona figlio non potrà essere risolta. Assicurati che il tuo provider DNS supporti i record DS.

  • Può essere utile impostare le autorizzazioni IAM per consentire a un altro utente, oltre al proprietario della zona, di aggiungere o rimuovere record nella zona. Ad esempio, il proprietario di una zona può aggiungere una KSK e abilitare la firma e potrebbe anche essere responsabile della rotazione delle chiavi. Tuttavia, qualcun altro potrebbe essere responsabile dell'utilizzo di altri record per la zona ospitata. Per un esempio di policy IAM, consultare Autorizzazioni di esempio per il proprietario di un record di dominio.

Argomenti