DNSSEC 署名のトラブルシューティング

このセクションの情報は、DNSSEC 署名の有効化、無効化、およびキー署名キー (KSK) の使用に関する問題を解決するのに役立ちます。

DNSSEC の有効化

DNSSEC 署名を有効化する前に、「Amazon Route 53 での DNSSEC 署名の設定」で前提条件を確認してください。

DNSSEC の無効化

DNSSEC を安全に無効化するために、Route 53 は、ターゲットゾーンが信頼チェーン内にあるかどうかを確認します。ターゲットゾーンの親に、そのターゲットゾーンの NS レコードと DS レコードがあることも確認します。NS と DS のクエリ時に SERVFAIL 応答が返されるなど、ターゲットゾーンがパブリックに解決できない場合には、Route 53 は DNSSEC を安全に無効化できるかどうかを判断できません。親ゾーンに接続し、これらの問題を修正した上で、DNSSEC の無効化を再試行します。

KSK のステータスが [Action needed] (アクションが必要) になっています

KSK は、Route 53 DNSSEC が対応する へのアクセスを失った場合 AWS KMS key （アクセス許可または AWS KMS key 削除の変更により）、ステータスを必要なアクション (またはACTION_NEEDEDKeySigningKeyステータス) に変更できます。

KSK のステータスが [Action needed] (実行が必要) の場合、最終的に DNSSEC 検証リゾルバーを使用する顧客でゾーン停止が発生し、本番ゾーンが解決不能になることを防ぐため、迅速に対処しなければなりません。

問題を解決する場合、KSK の基になっているカスタマーマネージドキーが有効であり、適切なアクセス許可が付与されていることをご確認ください。必要な許可の詳細については、「DNSSEC 署名に必要な Route 53 カスタマー管理キーアクセス許可」を参照してください。

KSK を修正したら、「」で説明されているように AWS CLI、コンソールまたは を使用して KSK を再度アクティブ化しますステップ 2: DNSSEC 署名を有効にして KSK を作成。

今後この問題を回避するには、「」で提案されているように、KSK の状態を追跡する Amazon CloudWatch メトリクスを追加することを検討してくださいAmazon Route 53 での DNSSEC 署名の設定。

KSK のステータスが [Internal failure] (内部エラー) になっています

KSK のステータスが内部障害 (または INTERNAL_FAILURE KeySigningKeyステータス) の場合、問題が解決されるまで他の DNSSEC エンティティを操作できません。この KSK または他の KSK での作業を含め、DNSSEC 署名での操作を行う前に対策を取る必要があります。

この問題を解決するには、KSK のアクティブ化または非アクティブ化を再試行します。

APIs、署名の有効化 (EnableHostedZoneDNSSEC ) または署名の無効化 (DisableHostedZoneDNSSEC ) を試してください。

[Internal failure] (内部エラー) の問題には、迅速に対処することが重要です。この問題が解決されるまで、[Internal failure] (内部エラー) を修正するためのオペレーションを除き、ホストゾーンに対して他の変更を加えることはできません。