Amazon Route 53에서 DNSSEC 검증 활성화

Amazon Route 53에서 Virtual Private Cloud(VPC)에 대해 DNSSEC 검증을 활성화하면 응답이 변조되지 않았는지 확인하기 위해 DNSSEC 서명을 암호화 방식으로 확인합니다. VPC 세부 정보 페이지에서 DNSSEC 검증을 사용합니다.

Route 53 Resolver는 재귀 DNS 확인을 수행할 때 퍼블릭 서명 이름에 DNSSEC 검증을 적용합니다.

하지만 Route 53 Resolver가 다른 DNS 해석기로 전달하는 경우 해당 해석기는 재귀적 DNS 확인을 수행하므로 DNSSEC 검증도 적용해야 합니다.

중요

DNSSEC 검증을 활성화하면 VPC에서 AWS 리소스의 퍼블릭 DNS 레코드에 대한 DNS 해석에 영향을 줄 수 있어 중단이 발생할 수 있습니다. DNSSEC 검증을 활성화 또는 비활성화하는 데 몇 분 정도 걸릴 수 있습니다.

참고

현재 VPC (일명 AmazonProvided DNS) Amazon Route 53 Resolver 의 DO (DNSSEC 확인) EDNS 헤더 비트와 DNS 쿼리의 CD (검사 비활성화) 비트는 무시됩니다. DNSSEC을 구성한 경우 이는 Route 53 Resolver가 DNSSEC 유효성 검사를 수행하는 동안 DNSSEC 레코드를 반환하거나 응답에 AD 비트를 설정하지 않는다는 것을 의미합니다. 따라서 자체 DNSSEC 유효성 검사를 수행하는 것은 현재 Route 53 Resolver에서 지원되지 않습니다. 이 작업을 수행해야 하는 경우 자체 재귀 DNS 확인을 수행해야 합니다.

VPC 대해 DNSSEC 검증을 활성화하려면

1. https://console.aws.amazon.com/route53/ 에서 Route 53 콘솔에 AWS Management Console 로그인하고 여십시오.

2. 탐색 창의 Resolver에서 VPC를 선택합니다.

3. DNSSEC 검증에서 확인란을 선택합니다. 확인란이 이미 선택되어 있는 경우 선택을 취소하여 DNSSEC 검증을 비활성화할 수 있습니다.

   DNSSEC 검증을 활성화 또는 비활성화하는 데 몇 분 정도 걸릴 수 있습니다.