DNSSEC サインインの設定 Amazon Route 53 - Amazon Route 53

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

DNSSEC サインインの設定 Amazon Route 53

ドメインネームシステムセキュリティ拡張 (DNSSEC) 署名を使用すると、DNS リゾルバーは DNS レスポンスが からのものであり、改ざんAmazon Route 53されていないことを確認できます。DNSSEC 署名を使用すると、ホストゾーンに対するすべてのレスポンスはパブリックキー暗号を使用して署名されます。

この章では、 の DNSSEC 署名を有効にする方法Route 53、キー署名キー (KSKs) を使用する方法、および問題のトラブルシューティング方法について説明します。DNSSEC 署名は、 でAWS マネジメントコンソール、または API を使用してプログラムで操作できます。CLI を使用して DNSSEC 署名を設定する方法の詳細についてはAWS CLI を使用した DNSSEC 署名の有効化、「」を参照してください。CLI または SDKsを使用して を操作する方法の詳細についてはRoute 53、「」Amazon Route 53 のセットアップを参照してください。

DNSSEC 署名を有効にするには、2 つのステップがあります。

  • ステップ 1: の DNSSEC 署名を有効にしRoute 53、 Route 53 (AWS Key Management Service) のカスタマー管理のカスタマーマスターキー (CMK) に基づいてキー署名キー (KSK) AWS KMS を作成するように にリクエストします。

  • ステップ 2: Delegation Signer (DS) レコードを親ゾーンに追加してホストゾーンの信頼チェーンを作成し、DNS レスポンスが信頼された暗号化署名で認証されるようにします。

    これらの各ステップを完了する手順は、この章の「」セクションに記載されていますDNSSEC 署名の有効化と信頼チェーンの確立

DNSSEC 署名を有効にする前に、以下の点に注意してください。

  • ゾーンの停止を防ぎ、ドメインの問題が使用不可になるのを防ぐために、DNSSEC エラーに迅速に対応して解決する必要があります。CloudWatch または DNSSECInternalFailure エラーが検出されるたびに警告する DNSSECKeySigningKeysNeedingAction アラームを設定することを強くお勧めします。詳細については、「 」を参照してくださいAmazon CloudWatch を使用したホストゾーンのモニタリング

  • DNSSEC には、キー署名キー (KSK) とゾーン署名キー (ZSK) の 2 種類のキーがあります。Route 53 DNSSEC 署名では、各 KSK は、所有する の非対称 CMKAWS KMS に基づいています。必要に応じてローテーションする KSK 管理は、お客様が行います。ZSK 管理は によって実行されますRoute 53。

  • ホストゾーンの DNSSEC 署名を有効にすると、 は TTL を 1 週間Route 53に制限します。ホストゾーンのレコードに 1 週間を超える TTL を設定した場合、エラーは発生しません。ただし、 はレコードに 1 週間の TTL Route 53 を適用します。TTL が 1 週間未満のレコード、および DNSSEC 署名が有効になっていない他のホストゾーンのレコードは影響を受けません。

  • DNSSEC 署名を使用する場合、マルチベンダー設定はサポートされていません。

  • ゾーン所有者以外のユーザーがゾーンでレコードを追加または削除できるようにするIAMアクセス許可を設定すると便利です。たとえば、ゾーン所有者は KSK を追加して署名を有効にでき、キーローテーションも担当できます。ただし、他のユーザーがホストゾーンの他のレコードを操作する場合は、IAM ポリシーの例については、「ドメインレコード所有者のアクセス許可の例」を参照してください。