在 Amazon Route 53 中配置 DNSSEC 签名 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在 Amazon Route 53 中配置 DNSSEC 签名

域名系统安全扩展 (DNSSEC) 签名允许 DNS 解析程序验证来自 Amazon Route 53 且未被篡改的 DNS 响应。使用 DNSSEC 签名时,托管区域的每个响应都使用公有密钥加密技术进行签名。

在本章中,我们将介绍如何为 Route 53 启用 DNSSEC 签名、如何使用密钥签名密钥 (KSK) 以及如何解决问题。您可以在 Amazon Web Services Management Console 中使用 DNSSEC 签名或以编程方式与 API 搭配使用。有关使用 CLI 或软件开发工具包与 Route 53 搭配使用的更多信息,请参阅 设置 Amazon Route 53

在启用 DNSSEC 签名之前,请注意以下事项:

  • 为了帮助防止区域中断并避免域变得不可用的问题,您必须快速解决和处理 DNSSEC 错误。强烈建议您设置 CloudWatch 告警,在检测到 DNSSECInternalFailure 或者 DNSSECKeySigningKeysNeedingAction 错误时向您发出提示。有关更多信息,请参阅使用 Amazon CloudWatch 监控托管区域

  • DNSSEC 中有两种密钥:密钥签名密钥 (KSK) 和区域签名密钥 (ZSK)。在 Route 53 DNSSEC 签名中,每个 KSK 都基于您拥有的 Amazon KMS 中的非对称客户托管密钥。您负责 KSK 管理,其中包括根据需要进行轮换。ZSK 管理由 Route 53 执行。

  • 当您为托管区域启用 DNSSEC 签名时,Route 53 将 TTL 限制为一周。如果您为托管区域中的记录设置了一周以上的 TTL,则不会出现错误。但是,Route 53 对记录强制执行一周的 TTL。TTL 少于一周的记录和其它托管区域中未启用 DNSSEC 签名的记录不受影响。

  • 当您使用 DNSSEC 签名时,不支持多供应商配置。

  • 设置 IAM 权限以允许除区域拥有者之外的其他用户添加或删除区域中的记录非常有用。例如,区域拥有可以添加 KSK 并启用签名,还可能负责密钥转动。但是,其他人可能负责使用托管区域的其它记录。有关 IAM 策略示例,请参阅 域记录所有者的权限示例