在 Amazon Route 53 中启用 DNSSEC 验证 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Route 53 中启用 DNSSEC 验证

当您在 Amazon Route 53 中为 Virtual Private Cloud (VPC) 启用 DNSSEC 验证时,会对 DNSSEC 签名进行加密检查,以确保响应未被篡改。您可以在 VPC 详细信息页面上启用 DNSSEC 验证。

Route 53 Resolver 在执行递归 DNS 解析时将 DNSSEC 验证应用于公共签名名称。

但是,如果 Route 53 Resolver 要转发到另一个 DNS 解析程序,则该解析程序会执行递归 DNS 解析,最终还必须应用 DNSSEC 验证。

重要

启用 DNSSEC 验证可能会影响 VPC 中 Amazon 资源的公有 DNS 记录的 DNS 解析,这可能导致中断。注意,启用或禁用 DNSSEC 验证可能耗时数分钟。

注意

此时,您的 VPC(又名 AmazonProvided DNS)会忽略 DNS 查询 Amazon Route 53 Resolver 中的 DO(DNSSEC OK)EDNS 标头位和 CD(检查已禁用)位。如果您已配置 DNSSEC,则意味着虽然 Route 53 解析程序会执行 DNSSEC 验证,但不会返回 DNSSEC 记录,也不会在响应中设置 AD 位。因此,Route 53 解析程序目前不支持执行您自己的 DNSSEC 验证。如果需要进行自己的 DNSSEC 验证,您必须执行自己的递归 DNS 解析。

要为 VPC 启用 DNSSEC 验证

  1. 登录 Amazon Web Services Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 在导航窗格的 “解析器” 下,选择VPCs

  3. DNSSEC 验证下,选中复选框。如果已选中该复选框,则可以清除该复选框以禁用 DNSSEC 验证。

    注意,启用或禁用 DNSSEC 验证可能耗时数分钟。