As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando a DNSSEC assinatura no Amazon Route 53
A assinatura do Domain Name System Security Extensions (DNSSEC) permite que DNS os resolvedores validem se uma DNS resposta veio do Amazon Route 53 e não foi adulterada. Quando você usa a DNSSEC assinatura, todas as respostas de uma zona hospedada são assinadas usando criptografia de chave pública. Para uma visão geralDNSSEC, consulte a DNSSEC seção de AWS re:Invent 2021 - Amazon Route 53: A year
Neste capítulo, explicamos como habilitar a DNSSEC assinatura para o Route 53, como trabalhar com chaves de assinatura de chave (KSKs) e como solucionar problemas. Você pode trabalhar DNSSEC fazendo login no AWS Management Console ou programaticamente com o. API Para obter mais informações sobre como usar o CLI ou SDKs para trabalhar com o Route 53, consulteConfigurar o Amazon Route 53.
Antes de ativar a DNSSEC assinatura, observe o seguinte:
Para ajudar a evitar uma interrupção na zona e evitar problemas com a indisponibilidade do seu domínio, você deve solucionar e resolver DNSSEC erros rapidamente. É altamente recomendável que você configure um CloudWatch alarme que o alerte sempre que um
DNSSECKeySigningKeysNeedingActionerroDNSSECInternalFailureou for detectado. Para obter mais informações, consulte Monitoramento de zonas hospedadas usando a Amazon CloudWatch.Há dois tipos de chavesDNSSEC: uma chave de assinatura de chave (KSK) e uma chave de assinatura de zona (). ZSK Na DNSSEC assinatura do Route 53, cada uma KSK é baseada em uma chave assimétrica gerenciada pelo cliente AWS KMS que você possui. Você é responsável pelo KSK gerenciamento, o que inclui a rotação, se necessário. ZSKo gerenciamento é realizado pelo Route 53.
Quando você ativa a DNSSEC assinatura para uma zona hospedada, o Route 53 limita TTL a uma semana. Se você definir um TTL período de mais de uma semana para registros na zona hospedada, não receberá um erro. No entanto, o Route 53 impõe uma TTL semana para os registros. Registros com menos TTL de uma semana e registros em outras zonas hospedadas que não têm a DNSSEC assinatura ativada não são afetados.
Quando você usa a DNSSEC assinatura, não há suporte para configurações de vários fornecedores. Se você configurou servidores de nomes de marca branca (também conhecidos como servidores de nomes personalizados ou servidores de nomes privados), certifique-se de que esses servidores de nomes sejam fornecidos por um único provedor. DNS
-
Alguns DNS provedores não oferecem suporte aos registros do Delegation Signer (DS) em seus registros oficiaisDNS. Se sua zona principal for hospedada por um DNS provedor que não oferece suporte a consultas DS (sem definir o sinalizador AA na resposta da consulta DS), quando você habilitar DNSSEC em sua zona secundária, a zona secundária ficará insolúvel. Certifique-se de que seu DNS provedor ofereça suporte a registros DS.
Pode ser útil configurar IAM permissões para permitir que outro usuário, além do proprietário da zona, adicione ou remova registros na zona. Por exemplo, o proprietário de uma zona pode adicionar KSK e ativar a assinatura, além de ser responsável pela rotação de chaves. No entanto, outra pessoa pode ser responsável por trabalhar com outros registros para a zona hospedada. Para obter um exemplo IAM de política, consultePermissões de exemplo para um proprietário de registro de domínio.
-
Para verificar se o TLD tem DNSSEC suporte, consulteDomínios que você pode registrar com o Amazon Route 53.
Tópicos
- DNSSECPermitindo a assinatura e estabelecendo uma cadeia de confiança
- Desativando a assinatura DNSSEC
- Trabalhando com chaves gerenciadas pelo cliente para DNSSEC
- Trabalhando com chaves de assinatura de chaves () KSKs
- KMSchave e ZSK gerenciamento no Route 53
- DNSSECprovas de inexistência no Route 53
- Solução de problemas de DNSSEC assinatura
