使用Amazon用于启用 DNSSEC 签名的 CLI - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用Amazon用于启用 DNSSEC 签名的 CLI

您可以使用Amazon命令行界面 (CLI) 以使用 Route 53 中的 DNSSEC 签名。例如,您可以使用 CLI 启用 DNSSEC 签名,而不是在Amazon Web Services Management Console. 此部分提供使用 CLI 启用 DNSSEC 签名的示例。有关使用适用于 Route 53 的 CLI 或软件开发工具包的更多信息,请参阅设置 Amazon Route 53 .

若要使用 Route 53 控制台启用 DNSSEC 签名,请参阅启用 DNSSEC 签名并创建 KSK.

在运行命令以启用 DNSSEC 签名之前,您必须在 Route 53 中拥有托管区域并且具有对托管区域 ID 的访问权限。您还必须有权访问客户托管客户主密钥 (CMK)Amazon Key Management Service(Amazon KMS),适用于 DNSSEC。

请注意,客户托管 CMK 必须位于美国东部(弗吉尼亚北部)区域。此外,Route 53 必须具有访问您的客户管理 CMK 的权限,以便它能够为您创建 KSK。若要查看必须存在的权限,并了解有关使用 DNSSEC 的 CMK 的详细信息,请参阅使用用于 DNSSEC 的客户管理 CMK..

启用 DNSSEC 签名需要执行三个步骤:

  • 第 1 步:创建密钥签名密钥 (KSK)

  • 第 2 步:启用签名

  • 第 3 步:建立信任链

本节包括步骤 1 和步骤 2 的示例 CLI 命令。完成这些步骤后,为托管区域建立信任链,以完成 DNSSEC 签名设置。有关更多信息,请参阅 建立信任链

第 1 步:要创建 KSK,可运行以下命令,使用您自己的hostedzone_idcmk_arnksk_name, 和unique_string(使请求唯一)。

aws --region us-east-1 route53 create-key-signing-key \ --hosted-zone-id $hostedzone_id \ --key-management-service-arn $cmk_arn --name $ksk_name \ --status ACTIVE \ --caller-reference $unique_string

第 2 步:若要启用 DNSSEC 签名,请运行以下命令,使用您自己的值hostedzone_id

aws --region us-east-1 route53 enable-hosted-zone-dnssec \ --hosted-zone-id $hostedzone_id

第 3 步:完成这些步骤后,可建立托管区域的信任链。有关更多信息,请参阅 建立信任链