在 Amazon Route 53 中啟用 DNSSEC 驗證

當您在 Amazon Route 53 中針對 Virtual Private Cloud (VPC) 啟用 DNSSEC 驗證時，會以密碼編譯方式檢查 DNSSEC 簽章，以確保回應未遭竄改。您可以在 VPC 詳細資料頁面上啟用 DNSSEC 驗證。

當執行遞迴 DNS 解析時，VPC Resolver 會將 DNSSEC 驗證套用至公有簽章名稱。

不過，如果 VPC Resolver 正在轉送到另一個 DNS 解析程式，則該解析程式正在執行遞迴 DNS 解析，因此也必須套用 DNSSEC 驗證。

重要

啟用 DNSSEC 驗證可能會影響來自 VPC 中 AWS 資源的公有 DNS 記錄的 DNS 解析，這可能會導致中斷。請注意，啟用或停用 DNSSEC 驗證需要幾分鐘的時間。

注意

此時，VPC 中的 Route 53 VPC Resolver （也稱為 AmazonProvidedDNS) 會忽略 DNS 查詢中的 DO (DNSSEC OK) EDNS 標頭位元和 CD （已停用檢查） 位元。如果您已設定 DNSSEC，這表示 VPC Resolver 執行 DNSSEC 驗證時，不會傳回 DNSSEC 記錄，也不會在回應中設定 AD 位元。因此，VPC Resolver 目前不支援執行您自己的 DNSSEC 驗證。如果您需要這樣做，則需要執行自己的遞迴 DNS 解析。

啟用 VPC 的 DNSSEC 驗證

1. 登入 AWS 管理主控台 ，並在 https：//https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

2. 在導覽窗格中的 VPC Resolver 下，選擇 VPCs。

3. 在 DNSSEC 驗證下方，選取核取方塊。如果已選取核取方塊，您可以取消選取此核取方塊以停用 DNSSEC 驗證。

   請注意，啟用或停用 DNSSEC 驗證需要幾分鐘的時間。