DNSSEC 簽署故障診斷

本節中的資訊可協助您解決 DNSSEC 簽署的問題，包括啟用、停用及金鑰簽署金鑰 (KSK)。

啟用 DNSSEC

在開始啟用 DNSSEC 簽署之前，請務必先閱讀 在 Amazon Route 53 中設定 DNSSEC 簽署 中的先決條件。

停用 DNSSEC

為了安全地停用 DNSSEC，Route 53 會檢查目標區域是否位於信任鏈中。其會檢查目標區域的父項是否具有目標區域的任何 NS 記錄以及目標區域的 DS 記錄。如果目標區域無法公開解析，例如，在查詢 NS 和 DS 時得到 SERVFAIL 回應，Route 53 就無法判斷停用 DNSSEC 是否安全。您可以聯絡您的父區域以修正這些問題，並於稍後再重試停用 DNSSEC。

KSK 狀態為 Action needed (需採取動作)

當 Route 53 DNSSEC 失去對應的訪問權限（由於權限或ACTION_NEEDED刪除）時，KSK 可以將其KeySigningKey狀態更改為「需要操作」 AWS KMS key （或 AWS KMS key 狀態）。

如果 KSK 的狀態為 Action needed (需採取動作)，意味著最終其將導致使用 DNSSEC 驗證解析器的客戶端發生區域中斷，而您必須快速採取行動以防止生產區域變得無法解析。

若要修正這個問題，請確定您 KSK 作為依據的客戶受管金鑰已啟用且具有正確的許可。如需所需許可的詳細資訊，請參閱DNSSEC 簽署需要 Route 53 客戶受管金鑰許可。

修正 KSK 之後，請使用主控台或重新啟動 AWS CLI，如中步驟 2：啟用 DNSSEC 簽署並建立 KSK所述。

為了防止將 future 發生此問題，請考慮按照中的建議添加 Amazon CloudWatch 指標以跟踪 KSK 的狀態。在 Amazon Route 53 中設定 DNSSEC 簽署

KSK 狀態為 Internal failure (內部故障)

當 KSK 的狀態為內部故障（或KeySigningKey狀態）時，INTERNAL_FAILURE在問題解決之前，您無法使用任何其他 DNSSEC 實體。您必須採取行動，才能使用 DNSSEC 簽署，包括使用此 KSK 或您的其他 KSK。

若要修正此問題，請再試一次啟用或停用 KSK。

若要修正使用 API 時的問題，請嘗試啟用簽署 (EnableHostedZoneDNSSEC) 或停用簽署 (DisableHostedZoneDN SSEC)。

務必及時修正 Internal failure (內部故障) 問題。在修正此問題之前，除了修正 Internal failure (內部故障) 的操作之外，您無法對託管區域進行任何其他變更。