DNSSEC 登录问题排查问题 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNSSEC 登录问题排查问题

本节中的信息可以帮助您解决 DNSSEC 签名问题,包括密钥签名密钥 (KSK)。

KSK 状态是否为需要操作

如果 KSK 的状态为需要操作,您必须修复客户托管客户主密钥 (CMK),KSK 基于。例如,客户托管 CMK 的权限可能已更改,或者客户托管 CMK 可能已删除。

要更正此问题,请确保您的 KSK 基于的客户管理 CMK 具有正确的权限。有关更多信息,请参阅 DNSSEC 签名所需的 Route 53 CMK 权限

KSK 状态是否为Internal failure (内部故障)

当 KSK 的状态为Internal failure (内部故障),在问题得到解决之前,您无法与任何其他 DNSSEC 实体合作。在使用 DNSSEC 签名之前,您必须采取措施,包括使用此 KSK 或其他 KSK。

要更正问题,请重试以激活或停用 KSK。

如果您正在使用 Route 53 API,您可能还会看到 DNSSEC 签名状态INTERNAL_FAILURE. 要更正问题,请尝试启用签名 (启用托管分区)或禁用签名(禁用被托管的分区)。

重要的是,你纠正Internal failure (内部故障)问题迅速。在解决问题之前,您无法对托管区域进行任何其他更改,除了修复Internal failure (内部故障).