Amazon Route 53 での DNSSEC 署名の設定 - Amazon Route 53

Amazon Route 53 での DNSSEC 署名の設定

ドメイン名システムのセキュリティ拡張 (DNSSEC) 署名により、DNS リゾルバーは DNS 応答が Amazon Route 53 から送信され、改ざんされていないことを検証できます。DNSSEC 署名を使用すると、ホストゾーンへのすべての応答は、公開キー暗号化を使用して署名されます。

この章では、Route 53 の DNSSEC 署名を有効にする方法、キー署名キー (KSK) の使用方法および問題のトラブルシューティングについて説明します。DNSSEC 署名は、AWS Management Consoleで、または API を使用してプログラムにより操作できます。CLI または SDK を使用して Route 53 を操作する方法の詳細については、「Amazon Route 53 の設定」を参照してください。

DNSSEC 署名を有効にする前に、以下の点に注意してください。

  • ゾーンの停止を防ぎ、ドメインが使用できなくなる問題を回避するには、DNSSEC エラーにすばやく対処し解決する必要があります。DNSSECInternalFailure または DNSSECKeySigningKeysNeedingAction エラーが検出された際にはいつでもアラームが発生される、CloudWatch アラームをセットアップしておくことを強くお勧めします。詳細については、「Amazon CloudWatch を使用したホストゾーンのモニタリング」を参照してください

  • DNSSEC には、キー署名キー (KSK) とゾーン署名キー (ZSK) の 2 種類のキーがあります。Route 53 の DNSSEC 署名での各 KSK は、お客様が所有する AWS KMS 内の非対称カスタマーマネージドキーに基づいています。必要に応じて行うローテーションを初めとして、KSK管理の責任はお客様が持ちます。ZSK 管理は Route 53 によって実行されます。

  • ホストゾーンで DNSSEC 署名を有効にすると、Route 53 は TTL を 1 週間に制限します。ホストゾーンのレコードに対して TTL を 1 週間以上設定しても、エラーは発生しません。ただし、Route 53 では、レコードに対して 1 週間の TTL が強制されます。TTL が 1 週間未満のレコードと、DNSSEC 署名が有効になっていない他のホストゾーンのレコードは、この影響を受けません。

  • DNSSEC 署名を使用する場合、マルチベンダー構成はサポートされません。

  • ゾーン所有者以外の別のユーザーがゾーン内のレコードを追加または削除できるように、IAM アクセス許可を設定すると便利です。例えば、ゾーンの所有者は KSK を追加して署名を有効にし、キーのローテーションを担当することができます。同時に、他のユーザーがホストゾーンで他のレコードの操作を担当することも可能です。IAM ポリシーの例については、「ドメインレコード所有者のアクセス許可の例」を参照してください。