DNSSEC 서명 문제 해결 - Amazon Route 53

DNSSEC 서명 문제 해결

이 섹션의 정보는 활성화, 비활성화, KSK(키 서명 키)를 포함하여 DNSSEC 서명 문제를 해결하는 데 도움이 될 수 있습니다.

DNSSEC 활성화

DNSSEC 서명을 활성화하기 전에 Amazon Route 53에서 DNSSEC 서명 구성에서 사전 조건을 읽어야 합니다.

DNSSEC 비활성화

DNSSEC를 안전하게 비활성화하기 위해 Route 53은 대상 영역이 신뢰 체인에 속하는지 확인합니다. 대상 영역의 상위 영역에 대상 영역의 NS 레코드와 대상 영역의 DS 레코드가 있는지 확인합니다. 대상 영역을 공개적으로 확인할 수 없는 경우(예: NS 및 DS를 쿼리할 때 SERVFAIL 응답을 받음) Route 53은 DNSSEC를 비활성화해도 안전한지 여부를 판단할 수 없습니다. 상위 영역에 확인하여 해결한 다음에 DNSSEC를 다시 비활성화해 볼 수 있습니다.

KSK 상태가 Action needed(작업 필요)인 경우

Route 53 DNSSEC가 해당 AWS KMS key에 대한 액세스 권한을 상실할 때(권한 변경으로 인해 또는 AWS KMS key 삭제로 인함), KSK는 상태를 작업 필요(Action needed)로 변경(또는 KeySigningKey 상태를 ACTION_NEEDED로 변경)할 수 있습니다.

KSK의 상태가 작업 필요(Action needed)인 경우는 DNSSEC 검증 해석기를 사용하는 클라이언트에 영역 가동 중단이 발생함을 의미하므로 프로덕션 영역을 확인되지 않는 상황을 방지할 수 있도록 신속하게 조치를 취해야 합니다.

이 문제를 해결하려면 KSK가 기반으로 하는 고객 관리형 키가 활성화되었으며 올바른 권한이 있는지 확인하세요. 필요한 권한에 대한 자세한 정보는 DNSSEC 서명에 필요한 Route 53 고객 관리형 키 권한 단원을 참조하십시오.

KSK를 수정한 후, 2단계: DNSSEC 서명 활성화 및 KSK 생성에 설명된 대로 콘솔 또는 AWS CLI를 사용하여 다시 활성화합니다.

향후 이 문제를 방지하려면 Amazon Route 53에서 DNSSEC 서명 구성에서 제안된 대로 Amazon CloudWatch 지표를 추가하여 KSK의 상태를 추적하는 것을 고려합니다.

KSK 상태가 내부 오류(Internal failure)인 경우

KSK의 상태가 내부 오류(Internal failure)(또는 KeySigningKey 상태가 INTERNAL_FAILURE)인 경우, 문제가 해결될 때까지 다른 DNSSEC 엔터티에서 작업할 수 없습니다. 이 KSK 또는 다른 KSK로 작업하는 것을 포함하여 DNSSEC 서명으로 작업하려면 먼저 조치를 취해야 합니다.

문제를 해결하려면 KSK를 다시 활성화하거나 비활성화합니다.

문제를 해결하려면 API로 작업할 때 서명 활성화(EnableHostedZoneDNSSEC) 또는 서명 비활성화(DisableHostedZoneDNSSEC)를 시도합니다.

내부 오류(Internal failure) 문제는 신속하게 해결해야 합니다. 문제를 해결하기 전까지는 호스팅 영역을 변경할 수 없습니다. 단, 내부 오류(Internal failure) 수정 작업은 예외로 합니다.