Amazon Route 53에서 DNSSEC 서명 구성 - Amazon Route 53

Amazon Route 53에서 DNSSEC 서명 구성

DNSSEC(도메인 이름 시스템 보안 확장) 서명을 사용하면 DNS 해석기가 DNS 응답이 Amazon Route 53에서 왔으며 변조되지 않았는지 검증할 수 있습니다. DNSSEC 서명을 사용하면 호스팅 영역에 대한 모든 응답이 퍼블릭 키 암호화를 사용하여 서명됩니다.

이 장에서는 Route 53에 대해 DNSSEC 서명을 사용하는 방법, KSK(키 서명 키)에서 작업하는 방법 및 문제 해결 방법에 대해 설명합니다. AWS Management Console에서 또는 API를 사용하여 프로그래밍 방식으로 DNSSEC 서명을 사용할 수 있습니다. CLI를 사용하여 DNSSEC 서명을 설정하는 방법에 대한 자세한 내용은 AWS CLI를 사용하여 DNSSEC 서명을 활성화합니다. 섹션을 참조하세요. CLI나 SDK를 사용하여 Route 53에서 작업하는 방법에 대한 자세한 내용은 Amazon Route 53 설정 섹션을 참조하세요.

DNSSEC 서명 활성화 절차는 다음 두 단계로 구성됩니다.

  • 1단계: Route 53에 대해 DNSSEC 서명을 활성화하고 Route 53가 AWS Key Management Service에서 AWS KMS key(KMS 키)를 생성하도록 요청합니다.

  • 2단계: DNS 응답이 신뢰할 수 있는 암호화 서명으로 인증될 수 있도록 상위 영역에 DS(위임 서명자) 레코드를 추가하여 호스팅 영역에 대한 신뢰 체인을 만듭니다.

    이러한 각 단계를 완료하기 위한 지침은 이 장의 DNSSEC 서명 활성화 및 신뢰 체인 설정 섹션에 포함되어 있습니다.

DNSSEC 서명을 사용하기 전에 다음 사항에 유의하세요.

  • 영역 중단을 방지하고 도메인을 사용할 수 없게 되는 문제를 방지하려면 DNSSEC 오류를 신속하게 대응하고 해결해야 합니다. DNSSECInternalFailure 또는 DNSSECKeySigningKeysNeedingAction 오류를 감지할 때마다 알림이 전송되도록 CloudWatch 경보를 설정하는 것이 좋습니다. 자세한 내용은 Amazon CloudWatch를 사용하여 호스팅 영역 모니터링 섹션을 참조하세요.

  • DNSSEC에는 KSK(키 서명 키) 와 ZSK(영역 서명 키)라는 두 가지 키가 있습니다. Route 53 DNSSEC 서명에서 각 KSK는 사용자가 소유한 AWS KMS의 비대칭 고객 관리형 키를 기반으로 합니다. 필요한 경우 교체를 포함한 KSK 관리에 대한 책임은 사용자에게 있습니다. ZSK 관리는 Route 53에서 수행합니다.

  • 호스팅 영역에 대해 DNSSEC 서명을 사용하면 Route 53가 TTL을 1주일로 제한합니다. 호스팅 영역의 레코드에 대해 TTL을 1주일보다 긴 기간으로 설정하면 오류가 발생하지 않습니다. 그러나 Route 53는 해당 레코드에 대해 1주일의 TTL을 적용합니다. TTL이 1주일 미만인 레코드와 DNSSEC 서명이 사용되지 않은 다른 호스팅 영역의 레코드는 영향을 받지 않습니다.

  • DNSSEC 서명을 사용하면 다중 공급 업체 구성이 지원되지 않습니다.

  • 영역 소유자 외에 다른 사용자가 해당 영역에 레코드를 추가하거나 제거할 수 있도록 IAM 권한을 설정하는 것이 도움이 될 수 있습니다. 예를 들어 영역 소유자는 KSK를 추가하고 서명을 활성화할 수 있으며 키 교체를 담당할 수도 있습니다. 그러나 다른 사람에게 호스팅 영역에 대한 다른 레코드로 작업할 책임이 있을 수 있습니다. IAM 정책 예제는 도메인 레코드 소유자에 대한 사용 권한 예제 단원을 참조하십시오.