在 Amazon Route 53 中配置 DNSSEC 签名

域名系统安全扩展 (DNSSEC) 签名允许 DNS 解析程序验证来自 Amazon Route 53 且未被篡改的 DNS 响应。使用 DNSSEC 签名时，托管区域的每个响应都使用公有密钥加密技术进行签名。

在本章中，我们将介绍如何为 Route 53 启用 DNSSEC 签名、如何使用密钥签名密钥 (KSK) 以及如何解决问题。您可以使用 DNSSEC 登录 AWS Management Console 或以编程方式使用 API。有关使用 CLI 或软件开发工具包与 Route 53 搭配使用的更多信息，请参阅 设置 Amazon Route 53。

在启用 DNSSEC 签名之前，请注意以下事项：

• 为了帮助防止区域中断并避免域变得不可用的问题，您必须快速解决和处理 DNSSEC 错误。我们强烈建议您设置 CloudWatch 警报，在检测到DNSSECInternalFailure或DNSSECKeySigningKeysNeedingAction错误时提醒您。有关更多信息，请参阅 使用 Amazon 监控托管区域 CloudWatch。

• DNSSEC 中有两种密钥：密钥签名密钥 (KSK) 和区域签名密钥 (ZSK)。在 Route 53 DNSSEC 签名中，每个 KSK 都基于您拥有的 AWS KMS 中的非对称客户托管密钥。您负责 KSK 管理，其中包括根据需要进行轮换。ZSK 管理由 Route 53 执行。

• 当您为托管区域启用 DNSSEC 签名时，Route 53 将 TTL 限制为一周。如果您为托管区域中的记录设置了一周以上的 TTL，则不会出现错误。但是，Route 53 对记录强制执行一周的 TTL。TTL 少于一周的记录和其它托管区域中未启用 DNSSEC 签名的记录不受影响。

• 当您使用 DNSSEC 签名时，不支持多供应商配置。如果您配置了白标域名称服务器（也称为虚名称服务器或私有名称服务器），请确保这些名称服务器由单一 DNS 提供商提供。

• 某些 DNS 提供商在其权威 DNS 中不支持委派签名者（DS）记录。如果您的父区域由不支持 DS 查询（未在 DS 查询响应中设置 AA 标志）的 DNS 提供商托管，则当您在其子区域中启用 DNSSEC 时，子区域将变得无法解析。确保您的 DNS 提供商支持 DS 记录。

• 设置 IAM 权限以允许除区域拥有者之外的其他用户添加或删除区域中的记录非常有用。例如，区域拥有可以添加 KSK 并启用签名，还可能负责密钥转动。但是，其他人可能负责使用托管区域的其它记录。有关 IAM policy 示例，请参阅 域记录所有者的权限示例。

主题

• 启用 DNSSEC 签名并建立信任链。
• 禁用 DNSSEC 签名
• 使用适用于 DNSSEC 的客户托管密钥
• 使用密钥签名密钥 (KSK)
• Route 53 中的 KMS 密钥和 ZSK 管理
• Route 53 中的 DNSSEC 不存在证明
• DNSSEC 签名的问题排查