Tipos de registro de DNS com suporte - Amazon Route 53
Tipo de registro ATipo de registro AAAATipo de registro CAATipo de registro CNAMETipo de registro de DSTipo de registro HTTPSTipo de registro MXTipo de registro NAPTRTipo de registro NSTipo de registro PTRTipo de registro SOATipo de registro SPFTipo de registro SRVTipo de registro SSHFPTipo de registro SVCBTipo de registro TLSATipo de registro TXT

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de registro de DNS com suporte

O Amazon Route 53 oferece suporte aos tipos de registros de DNS listados nesta seção. Cada tipo de registro também inclui um exemplo de como formatar o elemento Value ao acessar o Route 53 usando a API.

nota

Para os tipos de registros que incluem um nome de domínio, digite um nome de domínio totalmente qualificado, como www.exemplo.com. O ponto final é opcional; o Route 53 pressupõe que o nome do domínio seja totalmente qualificado. Isso significa que o Route 53 trata www.exemplo.com (sem um ponto final) e www.exemplo.com. (com um ponto final) como valores idênticos.

O Route 53 fornece uma extensão para a funcionalidade DNS conhecida como registros de alias. Semelhantes aos registros CNAME, os registros de alias permitem que você direcione o tráfego para AWS recursos selecionados, como CloudFront distribuições e buckets do Amazon S3. Para obter mais informações, incluindo uma comparação entre registros de alias e CNAME, consulte Escolher entre registros de alias e não alias.

Tipo de registro A

Você usa um registro A para rotear o tráfego para um recurso, como um servidor web, usando um IPv4 endereço em notação decimal pontilhada.

Exemplo para o console do Amazon Route 53

192.0.2.1

Exemplo para a API do Route 53

<Value>192.0.2.1</Value>

Tipo de registro AAAA

Você usa um registro AAAA para rotear o tráfego para um recurso, como um servidor web, usando um IPv6 endereço em formato hexadecimal separado por dois pontos.

Exemplo para o console do Amazon Route 53

2001:0db8:85a3:0:0:8a2e:0370:7334

Exemplo para a API do Route 53

<Value>2001:0db8:85a3:0:0:8a2e:0370:7334</Value>

Tipo de registro CAA

Um registro CAA especifica quais autoridades de certificação (CAs) estão autorizadas a emitir certificados para um domínio ou subdomínio. A criação de um registro CAA ajuda a evitar que o erro CAs emita certificados para seus domínios. Um registro CAA não é um substituto para os requisitos de segurança que são especificados por sua autoridade de certificação, como o requisito para validar que você é o proprietário de um domínio.

Você pode usar registros CAA para especificar:

  • Quais autoridades de certificação (CAs) podem emitir certificados SSL/TLS, se houver

  • O endereço de e-mail ou o URL a ser contatado quando a CA emitir um certificado para o domínio ou o subdomínio

Quando você adiciona um registro CAA a sua zona hospedada, você especifica três configurações separadas por espaços:

flags tag "value"

Observe o seguinte sobre o formato dos registros CAA:

  • O valor de tag pode conter somente os caracteres A-Z, a-z e 0-9.

  • Sempre coloque o value entre aspas ("").

  • Alguns CAs permitem ou exigem valores adicionais paravalue. Especifique valores adicionais como pares de nome e valor, e separe-os com ponto-e-vírgula (;), por exemplo:

    0 issue "ca.example.net; account=123456"

  • Se um CA recebe uma solicitação de certificado para um subdomínio (como www.example.com) e se não existe nenhum registro CAA no subdomínio, o CA envia uma consulta de DNS para um registro CAA para o domínio pai (como example.com). Se existir um registro para o domínio pai e se a solicitação de certificado for válida, o CA emitirá o certificado para o subdomínio.

  • Recomendamos que você consulte sua CA para determinar quais valores especificar para um registro da CAA.

  • Não é possível criar um registro de CAA e um registro do CNAME com o mesmo nome, pois o DNS não permite usar o mesmo nome para um registro do CNAME e para qualquer outro tipo de registro ao mesmo tempo.

Autorizar um CA a emitir um certificado para um domínio ou subdomínio

Para autorizar um CA a emitir um certificado para um domínio ou subdomínio, crie um registro com o mesmo nome do domínio ou do subdomínio, e especifique as seguintes configurações:

  • flags: 0

  • etiquetaissue

  • value: o código da CA que você autoriza para emitir um certificado para o domínio ou subdomínio

Por exemplo, suponha que você deseja autorizar ca.example.net a emitir um certificado para example.com. Você cria um registro CAA para example.com com as seguintes configurações:

0 issue "ca.example.net"

Para obter informações sobre como autorizar AWS Certificate Manager a emissão de um certificado, consulte Configurar um registro CAA no Guia do AWS Certificate Manager usuário.

Autorizar um CA a emitir um certificado curinga para um domínio ou subdomínio

Para autorizar um CA a emitir um certificado curinga para um domínio ou subdomínio, crie um registro com o mesmo nome de domínio ou subdomínio, e especifique as seguintes configurações. Um certificado curinga se aplica ao domínio ou subdomínio e a todos os seus subdomínios.

  • flags: 0

  • etiquetaissuewild

  • value (valor): o código da CA que você autoriza para emitir um certificado para um domínio ou subdomínio e seus subdomínios

Por exemplo, suponha que você deseja autorizar ca.example.net a emitir um certificado curinga para example.com, aplicável a example.com e a todos os seus subdomínios. Você cria um registro CAA para example.com com as seguintes configurações:

0 issuewild "ca.example.net"

Quando você quiser autorizar um CA a emitir um certificado curinga para um domínio ou subdomínio, crie um registro com o mesmo nome do domínio ou subdomínio, e especifique as seguintes configurações. Um certificado curinga se aplica ao domínio ou subdomínio e a todos os seus subdomínios.

Impedir qualquer CA de emitir um certificado para um domínio ou subdomínio

Para impedir qualquer CA de emitir um certificado para um domínio ou subdomínio, crie um registro com o mesmo nome do domínio ou subdomínio, e especifique as seguintes configurações:

  • flags: 0

  • etiquetaissue

  • value (valor): ";"

Por exemplo, suponha que você deseja impedir que qualquer CA emita um certificado para example.com. Você cria um registro CAA para example.com com as seguintes configurações:

0 issue ";"

Se você deseja impedir que qualquer CA emita um certificado para example.com ou seus subdomínios, crie um registro CAA para example.com com as seguintes configurações:

0 issuewild ";"

nota

Se você criar um registro CAA para example.com e especificar os valores a seguir, um CA que esteja usando o valor ca.example.net poderá emitir o certificado para example.com:

0 issue ";"
0 issue "ca.example.net"

Solicitar que um CA entre em contato com você caso receba uma solicitação de certificado inválida

Se você deseja que qualquer CA que receba uma solicitação inválida para um certificado entre em contato com você, especifique as seguintes configurações:

  • flags: 0

  • etiquetaiodef

  • value (valor): a URL ou o endereço de e-mail que você deseja que a CA notifique quando receber uma solicitação inválida de um certificado. Use o formato aplicável:

    "mailto:email-address"

    "http://URL"

    "https://URL"

Por exemplo, se você deseja que qualquer CA que receba uma solicitação inválida para um certificado envie um e-mail para admin@example.com, crie um registro de CAA com as seguintes configurações:

0 iodef "mailto:admin@example.com"

Usar outra configuração que é compatível com o CA

Se o seu CA oferece suporte a um recurso que não está definido na RFC para registros de CAA, especifique as seguintes configurações:

  • flags: 128 (esse valor impede que a CA emita um certificado, se ela não ela não oferecer suporte ao recurso especificado.)

  • tag: a tag que você autoriza a CA a usar

  • value: o valor que corresponde ao valor da tag

Por exemplo, suponha que o CA oferece suporte ao envio de uma mensagem de texto caso receba uma solicitação inválida para certificado. (Não temos conhecimento de nenhum CAs que ofereça suporte a essa opção.) As configurações para o registro poderiam ser:

128 exampletag "15555551212"

Exemplos

Exemplo para o console do Route 53

0 issue "ca.example.net"
0 iodef "mailto:admin@example.com"

Exemplo para a API do Route 53

<ResourceRecord>
   <Value>0 issue "ca.example.net"</Value>
   <Value>0 iodef "mailto:admin@example.com"</Value>
</ResourceRecord>

Tipo de registro CNAME

Um registro CNAME mapeia consultas DNS para o nome do registro atual, como acme.example.com, para outro domínio (example.com ou example.net) ou subdomínio (acme.example.com ou zenith.example.org).

Importante

O protocolo DNS não permite que você crie um registro CNAME no nó superior de um namespace DNS, também conhecido como o apex de zona. Por exemplo, se você registrar o nome do DNS exemplo.com, o apex de zona será exemplo.com. Você não pode criar um registro CNAME para exemplo.com, mas pode criar registros CNAME para www.exemplo.com, produtonovo.exemplo.com e assim por diante.

Além disso, se você criar um registro CNAME para um subdomínio, não poderá criar outros registros para esse subdomínio. Por exemplo, se você criar um CNAME para www.example.com, não poderá criar outros registros para os quais o valor do campo Name (Nome) é www.example.com.

O Amazon Route 53 também oferece suporte a registros de alias, que permitem rotear consultas para AWS recursos selecionados, como CloudFront distribuições e buckets do Amazon S3. Os aliases têm algumas semelhanças com o tipo de registro CNAME. No entanto, você pode criar um alias para o apex de zona. Para obter mais informações, consulte Escolher entre registros de alias e não alias.

Exemplo para o console do Route 53

hostname.example.com

Exemplo para a API do Route 53

<Value>hostname.example.com</Value>

Tipo de registro de DS

Um registro de signatário de delegação (DS) refere-se a uma chave de zona para uma zona de subdomínio delegado. Você pode criar um registro de DS ao estabelecer uma cadeia de confiança ao configurar a assinatura DNSSEC. Para obter mais informações sobre como configurar o DNSSEC no Route 53, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53.

Os três primeiros valores são números decimais que representam a tag de chave, o algoritmo e o tipo de resumo. O quarto valor é o resumo da chave de zona. Para obter mais informações sobre o formato de DS, consulte RFC 4034.

Exemplo para o console do Route 53

123 4 5 1234567890abcdef1234567890absdef

Exemplo para a API do Route 53

<Value>123 4 5 1234567890abcdef1234567890absdef</Value>

Tipo de registro HTTPS

Um registro de recurso HTTPS é uma forma do registro DNS do Service Binding (SVCB) que fornece informações de configuração estendidas, permitindo que um cliente se conecte com facilidade e segurança a um serviço com um protocolo HTTP. As informações de configuração são fornecidas em parâmetros que permitem a conexão em uma consulta de DNS, em vez de exigir várias consultas de DNS.

O formato de um registro de recurso HTTPS é:

SvcPriority TargetName SvcParams(optional)

Os parâmetros a seguir estão descritos na RFC 9460, seção 9.1.

SvcPriority

Um número inteiro que representa a prioridade. A prioridade 0 significa modo de alias e geralmente se destina ao alias no ápice da zona. Esse valor é um número inteiro 0-32767 para o Route 53, dos quais 1-32767 são registros do modo de serviço. Menor a prioridade, maior a preferência.

TargetName

O nome de domínio do destino do alias (para o modo alias) ou do endpoint alternativo (para). ServiceMode

SvcParams (opcional)

Uma lista separada por espaços em branco, com cada parâmetro consistindo em um par Chave=Valor ou em uma chave independente. Se houver mais de um valor, eles serão apresentados como uma lista separada por vírgula. Os seguintes são os definidosSvcParams:

  • 1:alpn— Protocolo de negociação do protocolo da camada de aplicação. IDs O padrão é HTTP/1.1, h2 é HTTP/2 sobre TLS e h3 é HTTP/3 (protocolo HTTP sobre QUIC).

  • 2:no-default-alpn— O padrão não é suportado e você deve fornecer um alpn parâmetro.

  • 3:port— o endpoint alternativo ou a porta em que o serviço pode ser alcançado.

  • 4:ipv4hint— dicas IPv4 de endereço.

  • 5:ech— Cliente criptografado Hello.

  • 6:ipv6hint— dicas IPv6 de endereço.

  • 7:dohpath— Modelo de DNS sobre HTTPS

  • 8:ohttp— O serviço opera um alvo HTTP inconsciente

Exemplo do console do Amazon Route 53 para o modo de alias

0 example.com

Exemplo do console do Amazon Route 53 para o modo de serviço

16 example.com alpn="h2,h3" port=808

Exemplo da API Amazon Route 53 para o modo de alias

<Value>0 example.com</Value>

Exemplo da API do Route 53 para o modo de serviço

<Value>16 example.com alpn="h2,h3" port=808</Value>

Para obter mais informações, consulte RFC 9460, Vinculação de serviço e especificação de parâmetros por meio do DNS (registros de recursos SVCB e HTTPS).

nota

O Route 53 não suporta o formato arbitrário de apresentação de chave desconhecida keyNNNNN

Tipo de registro MX

Um registro MX especifica os nomes dos servidores de e-mail e, se você tiver dois ou mais servidores de e-mail, a ordem de prioridade. Cada valor de um registro MX contém dois valores, prioridade e nome de domínio.

Prioridade

Um número inteiro que representa a prioridade para um servidor de e-mail. Se você especificar somente um servidor, a prioridade pode ser qualquer inteiro entre 0 e 65535. Se você especificar vários servidores, o valor especificado para a prioridade indica para qual servidor de e-mail você deseja que o e-mail seja roteado para em primeiro lugar, em segundo e assim por diante. O servidor com o menor valor para a prioridade tem precedência. Por exemplo, se você tiver dois servidores de e-mail e especificar valores de 10 e 20 para a prioridade, o e-mail sempre vai para o servidor com uma prioridade 10, a não ser que ele esteja indisponível. Se você especificar valores de 10 e 10, o e-mail será roteado para os dois servidores de forma praticamente igual.

Nome de domínio

O nome do domínio do servidor de e-mail. Especifique o nome (como email.exemplo.com) de um registro A ou AAAA. Em RFC 2181, Classificações para a especificação DNS, a seção 10.3 proíbe especificar o nome de um registro do CNAME para o valor do nome de domínio. (Quando a RFC menciona “alias”, significa um registro do CNAME, não um registro de alias do Route 53.)

Exemplo para o console do Amazon Route 53

10 mail.example.com

Exemplo para a API do Route 53

<Value>10 mail.example.com</Value>

Tipo de registro NAPTR

O Name Authority Pointer (NAPTR – Ponteiro de autoridade de nome) é um tipo de registro usado pelas aplicações Dynamic Delegation Discovery System (DDDS – Sistema de descoberta de delegação dinâmica) para converter um valor em outro ou substituir um valor por outro. Por exemplo, um uso comum é converter números de telefone em SIP. URIs

O elemento Value de um registro NAPTR consiste em seis valores separados por espaço:

Ordem

Quando você especifica mais de um registro, a sequência na qual deseja que a aplicação DDDS avalie os registros. Valores válidos: 0 - 65535.

Preferência

Quando você especifica dois ou mais registros que têm a mesma ordem, sua preferência para a sequência na qual os registros são avaliados. Por exemplo, se dois registros têm uma ordem de 1, a aplicação DDDS primeiro avalia o registro que tem a menor preferência. Valores válidos: 0 - 65535.

Sinalizadores

Uma configuração específica para as aplicações DDDS. Os valores atualmente definidos na RFC 3404 são letras maiúsculas e minúsculas "A", "P", "S"e "U"e a string vazia "". Coloque os sinalizadores entre aspas.

Serviço

Uma configuração específica para as aplicações DDDS. Coloque o serviço entre aspas.

Para obter mais informações, consulte o aplicável RFCs:

Regexp

Uma expressão regular que a aplicação DDDS usa para converter um valor de entrada em um valor de saída. Por exemplo, um sistema de telefone IP pode usar uma expressão regular para converter um número de telefone inserido por um usuário em um SIP URI. Coloque Regexp entre aspas. Especifique um valor para Regexp ou um valor para Substituição, mas não para ambos.

A expressão regular pode incluir qualquer um dos seguintes caracteres ASCII imprimíveis:

  • a-z

  • 0-9

  • - (hífen)

  • (espaço)

  • ! # $ % & ' ( ) * + , - / : ; < = > ? @ [ ] ^ _ ` { | } ~ .

  • " (aspas). Para incluir uma citação literal em uma string, preceda-a de um caractere \: \".

  • \ (barra invertida). Para incluir uma barra invertida em uma string, preceda-a de um caractere \: \\.

Especifique todos os outros valores, como nomes de domínio internacionalizados, no formato octal.

Para a sintaxe de Regexp, consulte RFC 3402, seção 3.2, Sintaxe de expressão de substituição

Substituição

O nome de domínio totalmente qualificado (FQDN) do próximo nome de domínio para o qual você deseja que a aplicação DDDS envie uma consulta de DNS. A aplicação DDDS substitui o valor de entrada pelo o valor que você especifica para Substituição, se houver. Especifique um valor para Regexp ou um valor para Substituição, mas não para ambos. Se você especificar um valor para Regexp, especifique um ponto (.) em Replacement (Substituição).

O nome do domínio pode incluir a-z, 0-9 e – (hífen).

Para obter mais informações sobre aplicativos DDDS e sobre registros NAPTR, consulte o seguinte: RFCs

Exemplo para o console do Amazon Route 53

100 50 "u" "E2U+sip" "!^(\\+441632960083)$!sip:\\1@example.com!" .
100 51 "u" "E2U+h323" "!^\\+441632960083$!h323:operator@example.com!" .
100 52 "u" "E2U+email:mailto" "!^.*$!mailto:info@example.com!" .

Exemplo para a API do Route 53

<ResourceRecord>
   <Value>100 50 "u" "E2U+sip" "!^(\\+441632960083)$!sip:\\1@example.com!" .</Value>
   <Value>100 51 "u" "E2U+h323" "!^\\+441632960083$!h323:operator@example.com!" .</Value>
   <Value>100 52 "u" "E2U+email:mailto" "!^.*$!mailto:info@example.com!" .</Value>
</ResourceRecord>

Tipo de registro NS

Um registro de NS identifica os servidores de nome da zona hospedada. Observe o seguinte:

  • O uso mais comum de um registro NS é controlar como o tráfego da Internet é roteado para um domínio. Para usar os registros em uma zona hospedada para rotear o tráfego para um domínio, atualize as configurações de registro de domínio para usar os quatro servidores de nomes no registro NS padrão. (Este é o registro NS que tem o mesmo nome que a zona hospedada.)

  • É possível criar uma zona hospedada separada para um subdomínio (acme.example.com) e usar essa zona hospedada para rotear o tráfego de Internet para o subdomínio e seus subdomínios (subdomain.acme.example.com). Defina esta configuração, conhecida como “delegar a responsabilidade por um subdomínio a uma zona hospedada” ao criar outro registro NS na zona hospedada para o domínio raiz (example.com). Para obter mais informações, consulte Rotear tráfego para subdomínios.

  • Os registros NS também são usados para configurar servidores de nomes de rótulo branco. Para obter mais informações, consulte Configurar servidores de nome de rótulo branco.

Para obter mais informações sobre registros de NS, consulte Registros de NS e SOA que o Amazon Route 53 cria para uma zona hospedada pública.

Exemplo para o console do Amazon Route 53

ns-1.example.com

Exemplo para a API do Route 53

<Value>ns-1.example.com</Value>

Tipo de registro PTR

Um registro PTR mapeia um endereço IP para o nome de domínio correspondente.

Exemplo para o console do Amazon Route 53

hostname.example.com

Exemplo para a API do Route 53

<Value>hostname.example.com</Value>

Tipo de registro SOA

Um registro de início de autoridade (SOA) fornece informações sobre um domínio e a zona hospedada correspondente do Amazon Route 53. Para obter informações sobre os campos em um registro de SOA, consulte Registros de NS e SOA que o Amazon Route 53 cria para uma zona hospedada pública.

Exemplo para o console do Route 53

ns-2048.awsdns-64.net hostmaster.awsdns.com 1 1 1 1 60

Exemplo para a API do Route 53

<Value>ns-2048.awsdns-64.net hostmaster.awsdns.com 1 1 1 1 60</Value>

Tipo de registro SPF

Anteriormente, os registros de SPF eram usados para verificar a identidade do remetente de mensagens de e-mail. No entanto, não recomendamos mais que você crie registros cujo tipo de registro seja SPF. O RFC 7208, Sender Policy Framework (SPF) para autorizar o uso de domínios em e-mail, versão 1, foi atualizado para dizer: “... [Sua] existência e mecanismo definidos em [RFC4408] levaram a alguns problemas de interoperabilidade. Da mesma forma, seu uso não é mais apropriado para a SPF versão 1; as implementações não são para usá-la." Na RFC 7208, consulte a seção 14.1, The SPF DNS Record Type.

Em vez de um registro SPF, recomendamos que você crie um registro TXT que contém o valor aplicável. Para obter mais informações sobre os valores válidos, consulte o artigo da Wikipédia Sender Policy Framework.

Exemplo para o console do Amazon Route 53

"v=spf1 ip4:192.168.0.1/16 -all"

Exemplo para a API do Route 53

<Value>"v=spf1 ip4:192.168.0.1/16 -all"</Value>

Tipo de registro SRV

Um elemento Value de um registro SRV consiste em quatro valores separados por espaços. Os três primeiros valores são números decimais que representam prioridade, peso e porta. O quarto valor é um nome de domínio. Os registros de SRV são usados para acessar serviços, como um serviço para e-mail ou comunicações. Para obter informações sobre o formato de registros de SRV, consulte a documentação do serviço ao qual você deseja se conectar.

Exemplo para o console do Amazon Route 53

10 5 80 hostname.example.com

Exemplo para a API do Route 53

<Value>10 5 80 hostname.example.com</Value>

Tipo de registro SSHFP

Um registro de impressão digital do Secure Shell (SSHFP) identifica as chaves SSH associadas ao nome de domínio. Os registros SSHFP devem ser protegidos com o DNSSEC para que uma cadeia de confiança seja estabelecida. Para obter mais informações sobre o DNSSEC, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53

O formato para um registro de recurso SSHFP é:

[Key Algorithm] [Hash Type] Fingerprint

Os parâmetros a seguir são definidos na RFC 4255.

Algoritmo chave

Tipo de algoritmo:

  • 0— Reservado e não usado.

  • 1: RSA— O algoritmo Rivest—Shamir—Adleman é um dos primeiros sistemas criptográficos de chave pública e ainda está em uso para transmissão segura de dados.

  • 2: DSA— O algoritmo de assinatura digital é um padrão federal de processamento de informações para assinaturas digitais. O DSA é baseado na exponenciação modular e nos modelos matemáticos de logaritmo discreto.

  • 3: ECDSA— O algoritmo de assinatura digital de curva elíptica é uma variante do DSA que usa criptografia de curva elíptica.

  • 4: Ed25519— O algoritmo Ed25519 é o esquema de assinatura EdDSA que usa SHA-512 (SHA-2) e Curve25519.

  • 6: Ed448— Ed448 é o esquema de assinatura EdDSA que usa e Curve448. SHAKE256

Tipo de hash

Algoritmo usado para criar o hash da chave pública:

  • 0—Reservado e não usado.

  • 1: SHA-1

  • 2: SHA-256

Impressão digital

Representação hexadecimal do hash.

Exemplo para o console do Amazon Route 53

1 1 09F6A01D2175742B257C6B98B7C72C44C4040683

Exemplo para a API do Route 53

<Value>1 1 09F6A01D2175742B257C6B98B7C72C44C4040683</Value>

Para obter mais informações, consulte RFC 4255: Usando o DNS para publicar com segurança as impressões digitais da chave Secure Shell (SSH).

Tipo de registro SVCB

Você usa um registro SVCB para fornecer informações de configuração para acessar os endpoints do serviço. O SVCB é um registro DNS genérico e pode ser usado para negociar parâmetros para uma variedade de protocolos de aplicativos.

O formato de um registro de recurso SVCB é:

SvcPriority TargetName SvcParams(optional)

Os parâmetros a seguir estão descritos na RFC 9460, seção 2.3.

SvcPriority

Um número inteiro que representa a prioridade. A prioridade 0 significa modo de alias e geralmente se destina ao alias no ápice da zona. Menor a prioridade, maior a preferência.

TargetName

O nome de domínio do destino do alias (para o modo alias) ou do endpoint alternativo (para). ServiceMode

SvcParams (opcional)

Uma lista separada por espaços em branco, com cada parâmetro consistindo em um par Chave=Valor ou em uma chave independente. Se houver mais de um valor, eles serão apresentados como uma lista separada por vírgula. Esse valor é um número inteiro 0-32767 para o Route 53, dos quais 1-32767 são registros do modo de serviço. Os seguintes são os definidosSvcParams:

  • 1:alpn— Protocolo de negociação do protocolo da camada de aplicação. IDs O padrão é HTTP/1.1, h2 é HTTP/2 sobre TLS e h3 é HTTP/3 (protocolo HTTP sobre QUIC).

  • 2:no-default-alpn— O padrão não é suportado e você deve fornecer um alpn parâmetro.

  • 3:port— a porta do endpoint alternativo em que o serviço pode ser acessado.

  • 4:ipv4hint— dicas IPv4 de endereço.

  • 5:ech— Cliente criptografado Hello.

  • 6:ipv6hint— dicas IPv6 de endereço.

  • 7:dohpath— Modelo de DNS sobre HTTPS

  • 8:ohttp— O serviço opera um alvo HTTP inconsciente

Exemplo do console do Amazon Route 53 para o modo de alias

0 example.com

Exemplo do console do Amazon Route 53 para o modo de serviço

16 example.com alpn="h2,h3" port=808

Exemplo da API Amazon Route 53 para o modo de alias

<Value>0 example.com</Value>

Exemplo da API do Route 53 para o modo de serviço

<Value>16 example.com alpn="h2,h3" port=808</Value>

Para obter mais informações, consulte RFC 9460, Vinculação de serviço e especificação de parâmetros por meio do DNS (registros de recursos SVCB e HTTPS).

nota

O Route 53 não suporta o formato arbitrário de apresentação de chave desconhecida keyNNNNN

Tipo de registro TLSA

Você usa um registro TLSA para usar a Autenticação de Entidades Nomeadas (DANE) baseada em DNS. Um registro TLSA associa uma certificate/public key with a Transport Layer Security (TLS) endpoint, and clients can validate the certificate/public chave usando um registro TLSA assinado com o DNSSEC.

Os registros TLSA só podem ser confiáveis se o DNSSEC estiver ativado em seu domínio. Para obter mais informações sobre o DNSSEC, consulte Como configurar a assinatura de DNSSEC no Amazon Route 53

O formato de um registro de recurso TLSA é:

[Certificate usage] Selector [Matching type] [Certificate association data]

Os parâmetros a seguir são especificados na RFC 6698, seção 3.

Uso do certificado

Especifica a associação fornecida que será usada para corresponder ao certificado apresentado no handshake TLS:

  • 0: Restrição de CA — O certificado ou a chave pública devem ser encontrados em qualquer um dos caminhos de certificação da Infraestrutura de Chave Pública (PKIX) para o certificado de entidade final fornecido pelo servidor no TLS. Essa restrição limita o que CAs pode ser usado para emitir certificados para um serviço especificado.

  • 1: Restrição de certificado de serviço — Especifica um certificado de entidade final (ou a chave pública) que deve corresponder ao certificado de entidade final fornecido pelo servidor em TLS. Essa certificação limita qual certificado de entidade final pode ser usado por um serviço especificado em um host.

  • 2: Uma afirmação de âncora de confiança — Especifica um certificado (ou a chave pública) que deve ser usado como “âncora confiável” ao validar o certificado de entidade final fornecido pelo servidor em TLS. Permite que um administrador de domínio especifique uma âncora confiável.

  • 3: Certificação emitida pelo domínio — Especifica um certificado (ou a chave pública) que deve corresponder ao certificado da entidade final fornecido pelo servidor em TLS. Essa certificação permite que um administrador de domínio emita certificados para um domínio sem envolver uma CA terceirizada. Esse certificado não precisa passar pela validação do PKIX.

Seletor

Especifica qual parte do certificado apresentado pelo servidor no handshake corresponde ao valor da associação:

  • 0: O certificado inteiro deve ser correspondido.

  • 1: A chave pública do assunto, ou a estrutura binária codificada em DER, deve ser correspondida.

Tipo de correspondência

Especifica a apresentação (conforme determinado pelo campo Seletor) da correspondência do certificado:

  • 0: Correspondência exata do conteúdo.

  • 1: hash SHA-256.

  • 2: Hash SHA-512.

Dados de associação de certificados

Os dados a serem combinados com base nas configurações dos outros campos.

Exemplo para o console do Amazon Route 53

0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971

Exemplo para a API do Route 53

<Value>0 0 1 d2abde240d7cd3ee6b4b28c54df034b97983a1d16e8a410e4561cb106618e971</Value>

Para obter mais informações, consulte RFC 6698, Protocolo TLS (Transport Layer Security) baseado em DNS: TLSA.

Tipo de registro TXT

Um registro TXT contém uma ou mais strings que estão entre aspas duplas ("). Quando você usar a política de roteamento simples, inclua todos os valores para um domínio (example.com) ou subdomínio (www.example.com) no mesmo registro TXT.

Inserir valores de registro TXT

Uma única string pode incluir até 255 caracteres, incluindo:

  • a-z

  • A-Z

  • 0-9

  • Espaço

  • - (hífen)

  • ! " # $ % & ' ( ) * + , - / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Se for necessário inserir um valor maior que 255 caracteres, quebre o valor em strings de 255 caracteres ou menos e coloque cada string entre aspas duplas ("). No console, liste todas as strings na mesma linha:

"String 1" "String 2" "String 3"

Para a API, inclua todas as strings no mesmo elemento Value:

<Value>"String 1" "String 2" "String 3"</Value>

O tamanho máximo de um valor em um registro TXT é de 4.000 caracteres.

Para inserir mais de um valor de TXT, insira um valor por linha.

Caracteres especiais em um valor de registro TXT

Se seu registro TXT contiver algum dos caracteres a seguir, você deverá especificar os caracteres usando códigos de escape no formato \three-digit octal code:

  • Os caracteres 000 a 040 octal (0 a 32 decimal, 0x00 a 0x20 hexadecimal)

  • Os caracteres 177 a 377 octal (127 a 255 decimal, 0x7F a 0xFF hexadecimal)

Por exemplo, se o valor do seu registro TXT é "exämple.com", você especifica "ex\344mple.com".

Para um mapeamento entre caracteres ASCII e códigos octais, faça uma pesquisa na Internet por “códigos octais ASCII”. Uma referência útil é Código ASCII – A tabela ASCII estendida.

Para incluir as aspas (") em uma string, coloque um caractere de barra invertida (\) antes das aspas: \".

Maiúsculas e minúsculas em um valor de registro TXT

O uso de maiúsculas e minúsculas é preservado, portanto, "Ab" e "aB" são valores diferentes.

Exemplos

Exemplo para o console do Amazon Route 53

Coloque cada valor em uma linha separada:

"This string includes \"quotation marks\"."
"The last character in this string is an accented e specified in octal format: \351"
"v=spf1 ip4:192.168.0.1/16 -all"

Exemplo para a API do Route 53

Coloque cada valor em um elemento de Value separado:

<Value>"This string includes \"quotation marks\"."</Value>
<Value>"The last character in this string is an accented e specified in octal format: \351"</Value>
<Value>"v=spf1 ip4:192.168.0.1/16 -all"</Value>