Abilitazione della convalida DNSSEC in Amazon Route 53

Quando abiliti la convalida DNSSEC per un Virtual Private Cloud (VPC) in Amazon Route 53 Resolver, le firme DNSSEC vengono controllate crittograficamente per garantire che la risposta non sia stata manomessa. È possibile abilitare la convalida DNSSEC nella pagina dei dettagli del VPC.

La convalida DNSSEC viene applicata da VPC Resolver ai nomi pubblici con firma quando esegue una risoluzione DNS ricorsiva.

Tuttavia, se il VPC Resolver inoltra a un altro resolver DNS, tale resolver esegue una risoluzione DNS ricorsiva e, pertanto, deve applicare anche la convalida DNSSEC.

Importante

L'abilitazione della convalida DNSSEC può influire sulla risoluzione DNS per i record DNS pubblici dalle risorse AWS in un VPC, che potrebbe causare un'interruzione. L'attivazione o la disattivazione della convalida DNSSEC può richiedere alcuni minuti.

Nota

Al momento, il Route 53 VPC Resolver nel VPC (noto anche come AmazonProvided DNS) ignora il bit di intestazione EDNS DO (DNSSEC OK) e il bit CD (Checking Disabled) nella query DNS. Se hai configurato DNSSEC, ciò significa che, sebbene il VPC Resolver esegua la convalida DNSSEC, non restituisce record DNSSEC né imposta il bit AD nella risposta. Pertanto, l'esecuzione della propria convalida DNSSEC non è attualmente supportata dal VPC Resolver. Se ne hai bisogno, dovrai eseguire la tua risoluzione DNS ricorsiva.

Come abilitare la convalida DNSSEC per un VPC

1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

2. Nel pannello di navigazione, in VPC Resolver, scegli. VPCs

3. In Convalida DNSSEC, seleziona la casella di controllo. Se la casella di controllo è già selezionata, puoi deselezionarla e disabilitare la convalida DNSSEC.

   L'attivazione o la disattivazione della convalida DNSSEC può richiedere alcuni minuti.