Amazon Route 53 での DNSSEC 署名の設定
ドメイン名システムのセキュリティ拡張 (DNSSEC) 署名により、DNS リゾルバーは DNS 応答が Amazon Route 53 から送信され、改ざんされていないことを検証できます。DNSSEC 署名を使用すると、ホストゾーンへのすべての応答は、公開キー暗号化を使用して署名されます。DNSSEC の概要については、「AWS re:Invent 2021 - Amazon Route 53: A year in review
この章では、Route 53 の DNSSEC 署名を有効にする方法、キー署名キー (KSK) の使用方法および問題のトラブルシューティングについて説明します。DNSSEC 署名は、AWS Management Consoleで、または API を使用してプログラムにより操作できます。CLI または SDK を使用して Route 53 を操作する方法の詳細については、「Amazon Route 53 を設定する」を参照してください。
DNSSEC 署名を有効にする前に、以下の点に注意してください。
ゾーンの停止を防ぎ、ドメインが使用できなくなる問題を回避するには、DNSSEC エラーにすばやく対処し解決する必要があります。
DNSSECInternalFailure
またはDNSSECKeySigningKeysNeedingAction
エラーが検出されるたびにアラートを受け取ることができる、CloudWatch アラームをセットアップしておくことを強くお勧めします。詳細については、「Amazon CloudWatch を使用したホストゾーンのモニタリング」を参照してください。DNSSEC には、キー署名キー (KSK) とゾーン署名キー (ZSK) の 2 種類のキーがあります。Route 53 の DNSSEC 署名での各 KSK は、お客様が所有する AWS KMS 内の非対称カスタマーマネージドキーに基づいています。必要に応じて行うローテーションを初めとして、KSK管理の責任はお客様が持ちます。ZSK 管理は Route 53 によって実行されます。
ホストゾーンで DNSSEC 署名を有効にすると、Route 53 は TTL を 1 週間に制限します。ホストゾーンのレコードに対して TTL を 1 週間以上設定しても、エラーは発生しません。ただし、Route 53 では、レコードに対して 1 週間の TTL が強制されます。TTL が 1 週間未満のレコードと、DNSSEC 署名が有効になっていない他のホストゾーンのレコードは、この影響を受けません。
DNSSEC 署名を使用する場合、マルチベンダー構成はサポートされません。ホワイトラベルネームサーバー (別称: バニティネームサーバー、プライベートネームサーバー) を構成している場合は、それらのネームサーバーが単一の DNS プロバイダーから提供されていることを確認します。
-
一部の DNS プロバイダーは、権威 DNS 内で委任署名者 (DS) レコードをサポートしていません。親ゾーンが DS クエリをサポートしていない (DS クエリ応答に AA フラグを設定していない) DNS プロバイダーによってホストされている場合、子ゾーンで DNSSEC を有効にすると、その子ゾーンに関する解決が不能になります。ご利用の DNS プロバイダーで、DS レコードがサポートされていることを確認してください。
ゾーン所有者以外の別のユーザーがゾーン内のレコードを追加または削除できるように、IAM アクセス許可を設定すると便利です。例えば、ゾーンの所有者は KSK を追加して署名を有効にし、キーのローテーションを担当することができます。同時に、他のユーザーがホストゾーンで他のレコードの操作を担当することも可能です。IAM ポリシーの例については、「ドメインレコード所有者のアクセス許可の例」を参照してください。
-
TLD に DNSSEC サポートがあるかどうかを確認するには、「Amazon Route 53 に登録できる最上位ドメイン」を参照してください。