Como solucionar problemas de assinatura de DNSSEC

As informações nesta seção podem ajudar você a resolver problemas com a assinatura de DNSSEC, inclusive com a habilitação, desabilitação e suas chaves de assinatura de chave (KSKs).

Como habilitar DNSSEC

Certifique-se de ler os prerrequisitos em Como configurar a assinatura de DNSSEC no Amazon Route 53 antes de começar a habilitar assinatura DNSSEC.

Como desabilitar DNSSEC

Para desabilitar o DNSSEC com segurança, o Route 53 verificará se a zona de destino está na cadeia de confiança. Ele verifica se o pai da zona de destino tem algum registro NS da zona de destino e registros DS da zona de destino. Se a zona de destino não puder ser resolvida publicamente, por exemplo, obtendo uma resposta SERVFAIL ao consultar NS e DS, o Route 53 não poderá determinar se é seguro desabilitar o DNSSEC. Você pode entrar em contato com sua zona pai para corrigir esses problemas e tentar desabilitar o DNSSEC novamente mais tarde.

O status da KSK é Action needed (Ação necessária)

Uma KSK pode mudar seu status para Ação necessária (ou ACTION_NEEDED em um KeySigningKeystatus) quando o Route 53 DNSSEC perde acesso a uma correspondente AWS KMS key (devido a uma alteração nas permissões ou AWS KMS key exclusão).

Se o status de uma KSK for Action needed (Ação necessária), significa que, eventualmente, ele causará uma interrupção de zona para clientes que usam resolvedores de validação de DNSSEC, e você deverá agir rapidamente para evitar que uma zona de produção se torne incapaz de ser resolvida.

Para corrigir o problema, certifique-se de que a chave gerenciada pelo cliente na qual a KSK se baseia está habilitada e tem as permissões corretas. Para mais informações sobre as permissões necessárias, consulte Permissões de chave gerenciada pelo cliente do Route 53 necessárias para assinatura DNSSEC.

Depois de corrigir o KSK, ative-o novamente usando o console ou o AWS CLI, conforme descrito emEtapa 2: Habilitar a assinatura de DNSSEC e criar uma KSK.

Para evitar esse problema no futuro, considere adicionar uma Amazon CloudWatch métrica para rastrear o estado do KSK, conforme sugerido emComo configurar a assinatura de DNSSEC no Amazon Route 53.

O status da KSK é Internal failure (Falha interna)

Quando uma KSK tem um status de falha interna (ou INTERNAL_FAILURE em um KeySigningKeystatus), você não pode trabalhar com nenhuma outra entidade do DNSSEC até que o problema seja resolvido. Você deve tomar medidas antes de poder trabalhar com a assinatura de DNSSEC, inclusive trabalhar com esta KSK ou com outra KSK.

Para corrigir o problema, tente novamente habilitar ou desabilitar a KSK.

Para corrigir o problema ao trabalhar com as APIs, tente ativar a assinatura (EnableHostedZoneDNSSEC) ou desativar a assinatura (DNSSEC). DisableHostedZone

É importante que você corrija os problemas de Internal failure (Falha interna) prontamente. Você não pode fazer outras alterações na zona hospedada até que você corrija o problema, exceto as operações para corrigir a Internal failure (Falha interna).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Provas do DNSSEC de inexistência no Route 53

Usar o AWS Cloud Map para criar registros e verificações de integridade