Amazon Route 53 でDNSSECの検証の有効化

Amazon Route 53 で仮想プライベートクラウド (VPC) DNSSECの検証を有効にすると、レスポンスが改ざんされていないことを確認するためにDNSSEC署名が暗号化的にチェックされます。VPC 詳細ページでDNSSEC検証を有効にします。

DNSSEC Route 53 Resolver は、再帰的DNS解決を実行するときに、パブリック署名付き名に検証を適用します。

ただし、Route 53 リゾルバーが別のDNSリゾルバーに転送されている場合、そのリゾルバーは再帰的DNS解決を実行しているため、DNSSEC検証も適用する必要があります。

重要

DNSSEC 検証を有効にすると、 の AWS リソースからのパブリックDNSレコードのDNS解決に影響しVPC、停止する可能性があります。DNSSEC 検証の有効化または無効化には数分かかる場合があることに注意してください。

注記

現時点では、 VPC (別名 AmazonProvidedDNS) Amazon Route 53 Resolver の はDNSクエリの DO (DNSSEC OK) EDNSヘッダービットと CD (無効の確認) ビットを無視します。を設定している場合DNSSEC、Route 53 Resolver はDNSSEC検証を実行している間、DNSSECレコードを返したり、レスポンスに AD ビットを設定したりしません。したがって、Route 53 Resolver では現在、独自のDNSSEC検証はサポートされていません。これを行う必要がある場合は、独自の再帰的DNS解決を実行する必要があります。

DNSSEC の検証を有効にするには VPC

1. にサインイン AWS Management Console し、 で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/。

2. ナビゲーションペインのリゾルバー で、 を選択しますVPCs。

3. DNSSEC 検証 で、チェックボックスをオンにします。チェックボックスが既に選択されている場合は、チェックを解除してDNSSEC検証を無効にすることができます。

   DNSSEC 検証の有効化または無効化には数分かかる場合があることに注意してください。