在 Amazon Route 53 中配置 DNSSEC 签名 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Route 53 中配置 DNSSEC 签名

域名系统安全扩展 (DNSSEC) 签名允许 DNS 解析程序验证 DNS 响应来自 Amazon Route 53 且未被篡改。使用 DNSSEC 签名时,托管区域的每个响应都使用公钥加密技术进行签名。

在本章中,我们将介绍如何为 Route 53 启用 DNSSEC 签名、如何使用密钥签名密钥 (KSK) 以及如何解决问题。您可以通过以下网址使用 DNSSEC 签名:Amazon Web Services Management Console或以编程方式使用 API。有关使用 CLI 设置 DNSSEC 签名的更多信息,请参阅使用Amazon用于启用 DNSSEC 签名的 CLI. 有关使用适用于 Route 53 的 CLI 或软件开发工具包的更多信息,请参阅设置 Amazon Route 53 .

启用 DNSSEC 签名有两个步骤:

  • 第 1 步:为 Route 53 启用 DNSSEC 签名,并请求 Route 53 根据客户管理的客户主密钥 (CMK) 在Amazon Key Management Service(Amazon KMS)。

  • 第 2 步:通过向父区域添加委派签名者 (DS) 记录,为托管区域创建信任链,以便可以使用受信任的加密签名对 DNS 响应进行身份验证。

    有关完成上述每个步骤的说明包括在本章的启用 DNSSEC 签名和建立信任链.

在启用 DNSSEC 签名之前,请注意以下事项:

  • 为了帮助防止区域中断并避免域变得不可用的问题,您必须快速解决和解决 DNSSEC 错误。我们强烈建议您设置 CloudWatch 警报,以便在DNSSECInternalFailure或者DNSSECKeySigningKeysNeedingAction检测到错误。有关更多信息,请参阅 使用 Amazon CloudWatch 监控托管区域

  • DNSSEC 中有两种密钥:密钥签名密钥 (KSK) 和区域签名密钥 (ZSK)。在 Route 53 DNSSEC 签名中,每个 KSK 都基于非对称 CMK在Amazon KMS您拥有的。您负责 KSK 管理,其中包括根据需要进行轮换。ZSK 管理由 Route 53 由执行。

  • 当您为托管区域启用 DNSSEC 签名时,Route 53 将 TTL 限制为一周。如果您为托管区域中的记录设置了一周以上的 TTL,则不会出现错误。但是,Route 53 对记录强制执行一周的 TTL。TTL 少于一周的记录和其他托管区域中未启用 DNSSEC 签名的记录不受影响。

  • 当您使用 DNSSEC 签名时,不支持多供应商配置。

  • 设置 IAM 权限以允许除区域所有者之外的其他用户添加或删除区域中的记录非常有用。例如,区域所有者可以添加 KSK 并启用签名,还可能负责密钥轮换。但是,其他人可能负责使用托管区域的其他记录。有关 IAM 策略示例,请参阅域记录所有者的权限示例