DNSSEC 署名のトラブルシューティング - Amazon Route 53

DNSSEC 署名のトラブルシューティング

このセクションの情報は、DNSSEC 署名の有効化、無効化、およびキー署名キー (KSK) の使用に関する問題を解決するのに役立ちます。

DNSSEC の有効化

DNSSEC 署名を有効化する前に、「Amazon Route 53 での DNSSEC 署名の設定」で前提条件を確認してください。

DNSSEC の無効化

DNSSEC を安全に無効化するために、Route 53 は、ターゲットゾーンが信頼チェーン内にあるかどうかを確認します。ターゲットゾーンの親に、そのターゲットゾーンの NS レコードと DS レコードがあることも確認します。NS と DS のクエリ時に SERVFAIL 応答が返されるなど、ターゲットゾーンがパブリックに解決できない場合には、Route 53 は DNSSEC を安全に無効化できるかどうかを判断できません。親ゾーンに接続し、これらの問題を修正した上で、DNSSEC の無効化を再試行します。

KSK のステータスが [Action needed] (アクションが必要) になっています

Route 53 DNSSEC が対応する AWS KMS key にアクセスできなくなった場合 (許可の変更または AWS KMS key の削除によって)、KSK はステータスを [Action needed] (実行が必要) に変更する場合があります (または KeySigningKey ステータスで ACTION_NEEDED)。

KSK のステータスが [Action needed] (実行が必要) の場合、最終的に DNSSEC 検証リゾルバーを使用する顧客でゾーン停止が発生し、本番ゾーンが解決不能になることを防ぐため、迅速に対処しなければなりません。

問題を解決する場合、KSK の基になっているカスタマーマネージドキーが有効であり、適切なアクセス許可が付与されていることをご確認ください。必要な許可の詳細については、「DNSSEC 署名に必要な Route 53 カスタマー管理キーアクセス許可」を参照してください。

KSK を修正した後、コンソールまたは ステップ 2: DNSSEC 署名を有効にして KSK を作成 で説明したように AWS CLI を使って、有効にしてください。

今後この問題を防止するため、Amazon Route 53 での DNSSEC 署名の設定 で勧めらているように KSK の状態を追跡する Amazon CloudWatch メトリックスを追加することをご検討ください。

KSK のステータスが [Internal failure] (内部エラー) になっています

KSK のステータスが [Internal failure] (内部障害) の場合 (または KeySigningKey ステータスで INTERNAL_FAILURE)、この問題が解決されるまで他の DNSSEC エンティティを操作することはできません。この KSK または他の KSK での作業を含め、DNSSEC 署名での操作を行う前に対策を取る必要があります。

この問題を解決するには、KSK のアクティブ化または非アクティブ化を再試行します。

API を使う際にこの問題を解決する場合、署名 (EnableHostedZoneDNSSEC) の有効化、または署名の無効化 (DisableHostedZoneDNSSEC) を試みます。

[Internal failure] (内部エラー) の問題には、迅速に対処することが重要です。この問題が解決されるまで、[Internal failure] (内部エラー) を修正するためのオペレーションを除き、ホストゾーンに対して他の変更を加えることはできません。