Como configurar a assinatura de DNSSEC no Amazon Route 53 - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar a assinatura de DNSSEC no Amazon Route 53

A assinatura de Domain Name System Security Extensions (DNSSEC) permite que os resolvedores DNS validem que uma resposta DNS veio do Amazon Route 53 e não foi adulterada. Quando você usa a assinatura de DNSSEC, cada resposta para uma zona hospedada é assinada usando criptografia de chave pública.

Neste capítulo, explicaremos como habilitar a assinatura de DNSSEC para o Route 53, como trabalhar com chaves de assinatura de chave (KSK) e como solucionar problemas. Você pode trabalhar com a assinatura de DNSSEC no AWS Management Console ou de forma programada com a API. Para obter mais informações sobre como usar a CLI ou SDKs para trabalhar com o Route 53, consulte Como configurar o Amazon Route 53.

Antes de habilitar a assinatura de DNSSEC, observe o seguinte:

  • Para ajudar a evitar uma interrupção da zona e evitar que problemas com o seu domínio se tornem indisponíveis, você deve tratar e resolver rapidamente os erros de DNSSEC. É altamente recomendável que você configure um CloudWatch alarme que o avise sempre que umDNSSECKeySigningKeysNeedingAction erroDNSSECInternalFailure ou for detectado. Para obter mais informações, consulte Como monitorar zonas hospedadas usando o AmazonCloudWatch.

  • Existem dois tipos de chaves no DNSSEC: uma chave de assinatura de chave (KSK) e uma chave de assinatura de zonas (ZSK). Na assinatura de DNSSEC do Route 53, cada KSK é baseada em uma chave assimétrica gerenciada pelo cliente no seu AWS KMS. Você é responsável pelo gerenciamento da KSK, que inclui alterná-la, se necessário. O gerenciamento de ZSK é realizado pelo Route 53.

  • Quando você habilita a assinatura de DNSSEC para uma zona hospedada, o Route 53 limita o TTL a uma semana. Se você definir um TTL de mais de uma semana para registros na zona hospedada, você não receberá um erro. No entanto, o Route 53 impõe um TTL de uma semana para os registros. Registros que têm um TTL de menos de uma semana e registros em outras zonas hospedadas que não têm a assinatura de DNSSEC habilitada não são afetados.

  • Quando você usa a assinatura de DNSSEC, configurações de vários fornecedores não são suportadas. Se você configurou servidores de nomes de white-label (também conhecidos como servidores de nomes personalizados ou servidores de nomes privados), certifique-se de que esses servidores de nomes sejam fornecidos por um único provedor de DNS.

  • Alguns provedores de DNS não oferecem suporte a registros de Signatário de Delegação (Delegation Signer, DS) em seu DNS autoritativo. Se sua zona pai for hospedada por um provedor de DNS que não oferece suporte a consultas DS (não definindo um sinalizador AA na resposta da consulta ao DS), quando você habilitar o DNSSEC em sua zona filho, a zona filho ficará sem solução. Certifique-se de que seu provedor de DNS ofereça suporte a registros DS.

  • Pode ser útil configurar permissões do IAM para permitir que outro usuário, além do proprietário da zona, adicione ou remova registros na região. Por exemplo, um proprietário de zona pode adicionar uma KSK e habilitar a assinatura, e também pode ser responsável pela rotação de chaves. No entanto, outra pessoa pode ser responsável por trabalhar com outros registros para a zona hospedada. Para ver um exemplo de política do IAM, consulte Permissões de exemplo para um proprietário de registro de domínio.