Amazon Route 53 での DNSSEC 署名の設定 - Amazon Route 53

Amazon Route 53 での DNSSEC 署名の設定

ドメイン名システムのセキュリティ拡張 (DNSSEC) 署名により、DNS リゾルバーは DNS 応答が Amazon Route 53 から送信され、改ざんされていないことを検証できます。DNSSEC 署名を使用すると、ホストゾーンへのすべての応答は、公開キー暗号化を使用して署名されます。

この章では、Route 53 の DNSSEC 署名を有効にする方法、キー署名キー (KSK) の操作方法、および問題のトラブルシューティング方法について説明します。DNSSEC 署名は、AWS Management Consoleで、または API を使用してプログラムにより操作できます。DNSSEC 署名のセットアップに CLI を使用する際の詳細については、「AWS CLI を使用した DNSSEC 署名の有効化」を参照してください。CLI または SDK を使用して Route 53 を操作する方法の詳細については、「Amazon Route 53 の設定 」を参照してください。

DNSSEC 署名を有効にするには、次の 2 つの手順を実行します。

  • ステップ 1: Route 53 の DNSSEC 署名を有効にし、AWS Key Management Service (AWS KMS) のカスタマー管理のカスタマーマスターキー (CMK) に基づいたキー署名キー (KSK) を、Route 53 が作成するようにリクエストします。

  • 手順 2: 委任署名者 (DS) レコードを親ゾーンに追加して、ホストゾーンの信頼チェーンを作成します。これにより、信頼された暗号化署名を使用して DNS 応答を認証できます。

    これらの各ステップを完了する手順は、この章のセクション「DNSSEC 署名を有効にし、信頼チェーンを確立します。」に記述されています。

DNSSEC 署名を有効にする前に、以下の点に注意してください。

  • ゾーンの停止を防ぎ、ドメインが使用できなくなる問題を回避するには、DNSSEC エラーにすばやく対処し解決する必要があります。DNSSECInternalFailure または DNSSECKeySigningKeysNeedingAction エラーが検出された際にはいつでもアラームが発生される、CloudWatch アラームをセットアップしておくことを強くお勧めします。詳細については、「Amazon CloudWatch を使用したホストゾーンのモニタリング」を参照してください

  • DNSSEC には、キー署名キー (KSK) とゾーン署名キー (ZSK) の 2 種類のキーがあります。Route 53 の DNSSEC 署名での各 KSK は、お客様が所有する AWS KMS 内の非対称 CMK に基づいています。必要に応じて行うローテーションを初めとして、KSK管理の責任はお客様が持ちます。ZSK 管理は Route 53 によって実行されます。

  • ホストゾーンで DNSSEC 署名を有効にすると、Route 53 は TTL を 1 週間に制限します。ホストゾーンのレコードに対して TTL を 1 週間以上設定しても、エラーは発生しません。ただし、Route 53 では、レコードに対して 1 週間の TTL が強制されます。TTL が 1 週間未満のレコードと、DNSSEC 署名が有効になっていない他のホストゾーンのレコードは、この影響を受けません。

  • DNSSEC 署名を使用する場合、マルチベンダー構成はサポートされません。

  • ゾーン所有者以外の別のユーザーがゾーン内のレコードを追加または削除できるように、IAM アクセス許可を設定すると便利です。例えば、ゾーンの所有者は KSK を追加して署名を有効にし、キーのローテーションを担当することができます。同時に、他のユーザーがホストゾーンで他のレコードの操作を担当することも可能です。IAM ポリシーの例については、「ドメインレコード所有者のアクセス許可の例」を参照してください。