아마존 Route 53에서의 DNSSEC 서명 구성 - Amazon Route 53

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 Route 53에서의 DNSSEC 서명 구성

도메인 이름 시스템 보안 확장 (DNSSEC) 서명을 통해 DNS 확인자는 Amazon Route 53에서 온 DNS 응답이며 변조되지 않았음을 확인할 수 있습니다. DNSSEC서명을 사용하면 호스팅 영역에 대한 모든 응답이 공개 키 암호화를 사용하여 서명됩니다. 개요는 AWS re:Invent 2021 - 아마존 Route 53:1년 리뷰 DNSSEC 섹션을 참조하십시오. DNSSEC

이 장에서는 Route 53에 대한 DNSSEC 서명을 활성화하는 방법, 키 서명 키 (KSKs) 를 사용하는 방법 및 문제를 해결하는 방법을 설명합니다. 에서 AWS Management Console 로그인하거나 를 사용하여 프로그래밍 방식으로 DNSSEC 로그인할 수 있습니다. API OR을 사용하여 Route SDKs 53을 사용하는 방법에 대한 자세한 내용은 을 참조하십시오아마존 루트 53 설정. CLI

DNSSEC서명을 활성화하기 전에 다음 사항을 참고하십시오.

  • 영역 중단을 방지하고 도메인을 사용할 수 없게 되는 문제를 방지하려면 오류를 신속하게 해결하고 DNSSEC 해결해야 합니다. DNSSECInternalFailure또는 DNSSECKeySigningKeysNeedingAction 오류가 CloudWatch 감지될 때마다 알려주는 경보를 설정하는 것이 좋습니다. 자세한 내용은 Amazon을 사용한 호스팅 영역 모니터링 CloudWatch 단원을 참조하십시오.

  • 키에는 키 서명 키 (KSK) 와 영역 서명 키 () 라는 두 종류의 키가 DNSSEC 있습니다. ZSK Route 53 DNSSEC 서명에서 각 서명은 KSK 사용자가 소유한 비대칭 고객 관리 키를 기반으로 합니다. AWS KMS KSK관리 책임은 귀하에게 있으며, 여기에는 필요한 경우 교체하는 것도 포함됩니다. ZSK관리는 Route 53에서 수행합니다.

  • 호스팅 영역에 대한 DNSSEC 서명을 활성화하면 Route 53은 기간을 TTL 1주일로 제한합니다. 호스팅 영역의 레코드를 1주 이상으로 설정해도 오류가 발생하지 않습니다. TTL 하지만 Route 53은 TTL 해당 레코드에 대해 1주일을 적용합니다. 기간이 1주일 미만인 TTL 레코드와 DNSSEC 서명이 활성화되지 않은 다른 호스팅 영역의 레코드는 영향을 받지 않습니다.

  • DNSSEC서명을 사용하는 경우 멀티벤더 구성은 지원되지 않습니다. 화이트 라벨 네임 서버 (베니티 네임 서버 또는 프라이빗 네임 서버라고도 함) 를 구성한 경우 해당 네임 서버가 단일 공급업체에서 제공되는지 확인하세요. DNS

  • 일부 DNS 공급자는 해당 기관의 위임 서명자 (DS) 레코드를 지원하지 않습니다. DNS DS 쿼리를 지원하지 않는 DNS 공급자 (DS 쿼리 응답에 AA 플래그를 설정하지 않음) 가 상위 영역을 호스팅하는 경우 하위 DNSSEC 영역에서 활성화하면 하위 영역을 확인할 수 없게 됩니다. DNS제공자가 DS 레코드를 지원하는지 확인하세요.

  • 영역 소유자 외에 다른 사용자가 영역에 레코드를 추가하거나 제거할 수 있도록 IAM 권한을 설정하는 것이 유용할 수 있습니다. 예를 들어 영역 소유자는 서명을 추가하고 활성화할 수 있으며 키 교체를 담당할 수도 있습니다. KSK 그러나 다른 사람에게 호스팅 영역에 대한 다른 레코드로 작업할 책임이 있을 수 있습니다. 예제 IAM 정책은 을 참조하십시오도메인 레코드 소유자에 대한 사용 권한 예제.

  • DNSSEC지원 TLD 여부를 확인하려면 을 참조하십시오Amazon Route 53에 등록할 수 있는 도메인.