AWS 账户是不是需要加入 AWS Organizations 才能支持 Route53 中的跨账户子域委派？

Posted 2023-02-19

【中文标题】AWS 账户是不是需要加入 AWS Organizations 才能支持 Route53 中的跨账户子域委派？

【英文标题】：Is it necessary for AWS accounts to be part of AWS Organizations to support cross-account subdomain delegation in Route53?AWS 账户是否需要加入 AWS Organizations 才能支持 Route53 中的跨账户子域委派？

【发布时间】：2021-12-26 12:04:16

【问题描述】：

我有 2 个 AWS 账户，比如说账户 A 和 B。 在账户 A 中我注册了域名：abc.com，我想在账户 B 中创建类似 dev.abc.com 的子域。 截至目前，我已经在账户 B 中创建了托管区域 dev.abc.com，并将 NS 值复制到账户 A 中的托管区域（通过为 NS 创建记录集）。 但是当我尝试挖掘域名时：

dig abc.com ns（我在答案部分得到 NS 记录，状态为 NOERROR）

输出：

QUESTION SECTION:
abc.com.            IN  NS
 ANSWER SECTION:
abc.com.        15045   IN  NS  ns-xxx.awsdns-xx.net.
abc.com.        15045   IN  NS  ns-xxxx.awsdns-xx.org.
abc.com.        15045   IN  NS  ns-xxxx.awsdns-xx.co.uk.
abc.com.        15045   IN  NS  ns-xxx.awsdns-xx.com.

dig dev.abc.com（我的状态为 NXDOMAIN）。

输出：

QUESTION SECTION:
dev.abc.com.            IN  NS

AUTHORITY SECTION:
dev.abc.com.        621 IN  SOA ns-xxx.awsdn 

我在 dev.abc.com 的帐户 A 中检查了 NS 的值是否正确，但仍然得到 NXDOMAIN。 现在我在考虑是否会出现这个问题，因为我的 AWS 账户不是 AWS Organizations 的一部分。

【问题讨论】：

dig dev.abc.com NS 带给你什么？

@DanielScott 它显示带有 NS 值的答案部分。如果我在命令末尾尝试不使用“ns”，它不会显示任何 dig 命令的答案部分

那么我认为它工作正常。您已将子域委托给托管区域。尝试在您的新托管区域中创建 A/CNAME 记录，然后dig 它。

@DanielScott 对不起，我误解了，我以为你要的是 dig abc.com 而不是 dig dev.abc.com，dig dev.abc.com 给了我 NXDOMAIN 的身份

那么问题出在你账户的某处A DNS记录。您是说dig dev.abc.com NS 给您的结果与您在帐户 A 中的 Route53 中看到的结果不同？

【参考方案1】：

不，两个账户不必成为 AWS 组织的一部分。

我能够解决它，我检查了注册域中的 NS 值与托管区域的 NS 值不匹配。 现在我也可以使用 dig 命令获取子域的正确 NS 值。