DNSSEC 서명 문제 해결

이 섹션의 정보는 활성화, 비활성화, KSK(키 서명 키)를 포함하여 DNSSEC 서명 문제를 해결하는 데 도움이 될 수 있습니다.

DNSSEC 활성화

DNSSEC 서명을 활성화하기 전에 Amazon Route 53에서 DNSSEC 서명 구성에서 사전 조건을 읽어야 합니다.

DNSSEC 비활성화

DNSSEC를 안전하게 비활성화하기 위해 Route 53은 대상 영역이 신뢰 체인에 속하는지 확인합니다. 대상 영역의 상위 영역에 대상 영역의 NS 레코드와 대상 영역의 DS 레코드가 있는지 확인합니다. 대상 영역을 공개적으로 확인할 수 없는 경우(예: NS 및 DS를 쿼리할 때 SERVFAIL 응답을 받음) Route 53은 DNSSEC를 비활성화해도 안전한지 여부를 판단할 수 없습니다. 상위 영역에 확인하여 해결한 다음에 DNSSEC를 다시 비활성화해 볼 수 있습니다.

KSK 상태가 Action needed(작업 필요)인 경우

권한 변경 또는 삭제로 인해 Route 53 ACTION_NEEDED DNSSEC에서 해당 항목에 대한 액세스를 상실하면 KSK는 상태를 조치 필요 (또는 KeySigningKey상태) 로 변경할 수 있습니다. AWS KMS key AWS KMS key

KSK의 상태가 작업 필요(Action needed)인 경우는 DNSSEC 검증 해석기를 사용하는 클라이언트에 영역 가동 중단이 발생함을 의미하므로 프로덕션 영역을 확인되지 않는 상황을 방지할 수 있도록 신속하게 조치를 취해야 합니다.

이 문제를 해결하려면 KSK가 기반으로 하는 고객 관리형 키가 활성화되었으며 올바른 권한이 있는지 확인하세요. 필요한 권한에 대한 자세한 정보는 DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한 단원을 참조하세요.

KSK를 수정한 후에는 에 설명된 대로 콘솔이나 를 사용하여 KSK를 다시 활성화하십시오. AWS CLI2단계: DNSSEC 서명 활성화 및 KSK 생성

향후 이 문제를 방지하려면 에서 Amazon Route 53에서 DNSSEC 서명 구성 제안한 대로 KSK의 상태를 추적하는 Amazon CloudWatch 지표를 추가하는 것을 고려해 보십시오.

KSK 상태가 내부 오류(Internal failure)인 경우

KSK가 내부 장애 상태 (또는 KeySigningKey상태) INTERNAL_FAILURE 인 경우 문제가 해결될 때까지 다른 DNSSEC 엔터티를 사용할 수 없습니다. 이 KSK 또는 다른 KSK로 작업하는 것을 포함하여 DNSSEC 서명으로 작업하려면 먼저 조치를 취해야 합니다.

문제를 해결하려면 KSK를 다시 활성화하거나 비활성화합니다.

API로 작업할 때 문제를 해결하려면 서명 활성화 (EnableHostedZoneDNSSEC) 또는 서명 비활성화 (DNSSEC) 를 시도해 보세요. DisableHostedZone

내부 오류(Internal failure) 문제는 신속하게 해결해야 합니다. 문제를 해결하기 전까지는 호스팅 영역을 변경할 수 없습니다. 단, 내부 오류(Internal failure) 수정 작업은 예외로 합니다.