Amazon Route 53 での DNSSEC 署名の設定

ドメイン名システムのセキュリティ拡張 (DNSSEC) 署名により、DNS リゾルバーは DNS 応答が Amazon Route 53 から送信され、改ざんされていないことを検証できます。DNSSEC 署名を使用すると、ホストゾーンへのすべての応答は、公開キー暗号化を使用して署名されます。

この章では、Route 53 の DNSSEC 署名を有効にする方法、キー署名キー (KSK) の使用方法および問題のトラブルシューティングについて説明します。DNSSEC 署名は、 で、 AWS Management Console または API を使用してプログラムで操作できます。CLI または SDK を使用して Route 53 を操作する方法の詳細については、「Amazon Route 53 の設定」を参照してください。

DNSSEC 署名を有効にする前に、以下の点に注意してください。

• ゾーンの停止を防ぎ、ドメインが使用できなくなる問題を回避するには、DNSSEC エラーにすばやく対処し解決する必要があります。DNSSECInternalFailure または DNSSECKeySigningKeysNeedingAction エラーが検出されるたびに警告する CloudWatch アラームを設定することを強くお勧めします。詳細については、「Amazon を使ったホストゾーンのモニタリング CloudWatch」を参照してください。

• DNSSEC には、キー署名キー (KSK) とゾーン署名キー (ZSK) の 2 種類のキーがあります。Route 53 の DNSSEC 署名での各 KSK は、お客様が所有する AWS KMS 内の非対称カスタマーマネージドキーに基づいています。必要に応じて行うローテーションを初めとして、KSK管理の責任はお客様が持ちます。ZSK 管理は Route 53 によって実行されます。

• ホストゾーンで DNSSEC 署名を有効にすると、Route 53 は TTL を 1 週間に制限します。ホストゾーンのレコードに対して TTL を 1 週間以上設定しても、エラーは発生しません。ただし、Route 53 では、レコードに対して 1 週間の TTL が強制されます。TTL が 1 週間未満のレコードと、DNSSEC 署名が有効になっていない他のホストゾーンのレコードは、この影響を受けません。

• DNSSEC 署名を使用する場合、マルチベンダー構成はサポートされません。ホワイトラベルネームサーバー (別称: バニティネームサーバー、プライベートネームサーバー) を構成している場合は、それらのネームサーバーが単一の DNS プロバイダーから提供されていることを確認します。

• 一部の DNS プロバイダーは、権威 DNS 内で委任署名者 (DS) レコードをサポートしていません。親ゾーンが DS クエリをサポートしていない (DS クエリ応答に AA フラグを設定していない) DNS プロバイダーによってホストされている場合、子ゾーンで DNSSEC を有効にすると、その子ゾーンに関する解決が不能になります。ご利用の DNS プロバイダーで、DS レコードがサポートされていることを確認してください。

• ゾーン所有者以外の別のユーザーがゾーン内のレコードを追加または削除できるように、IAM アクセス許可を設定すると便利です。例えば、ゾーンの所有者は KSK を追加して署名を有効にし、キーのローテーションを担当することができます。同時に、他のユーザーがホストゾーンで他のレコードの操作を担当することも可能です。IAM ポリシーの例については、「ドメインレコード所有者のアクセス許可の例」を参照してください。

トピック

• DNSSEC 署名を有効にし、信頼チェーンを確立します。
• DNSSEC 署名の無効化
• DNSSEC のためのカスタマー管理キーの使用
• キー署名キー (KSK) の使用
• Route 53 での KMS キーと ZSK 管理
• Route 53 での DNSSEC の非存在証明
• DNSSEC 署名のトラブルシューティング