Amazon Route 53 DNSSEC 支持

Posted 2023-02-22

【中文标题】Amazon Route 53 DNSSEC 支持

【英文标题】：Amazon Route 53 DNSSEC support

【发布时间】：2017-09-05 06:40:08

【问题描述】：

我们正在尝试决定使用哪种 DNS 托管解决方案。今天，我们使用 Power DNS，我们希望迁移到托管 DNS 解决方案。对我们来说最好的解决方案是为此使用亚马逊的 Route 53。 我们被要求将 DNSSEC 用于我们的 DNS 解决方案，我一直在尝试了解 Amazon 的 DNS 支持什么以及不支持什么。

亚马逊网站说：

Amazon Route 53 支持使用 DNSSEC 进行域注册，但不支持使用 DNSSEC 进行 DNS 服务。如果您想为注册到 Amazon Route 53 的域配置 DNSSEC，则必须使用其他 DNS 服务提供商。

http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html

谁能解释一下这是什么意思？尤其是受支持和不支持的内容，以及为使用 Route 53 注册的域使用另一个 DNS 服务提供商意味着什么。

【参考方案1】：

Route 53 提供两种不同的服务：

DNS 托管服务提供商，在托管区域提供权威的 DNS 托管 域注册商，允许您注册新域以在 Internet 上使用（或转移现有域的注册，以便将您的年度注册费合并到您的 AWS 账户账单中）

这两个服务之间没有必要的连接。您可以向任何认可的注册商（例如，Go Daddy）注册一个域，并且仍然使用 Route 53 托管 DNS……或者您可以使用 Route 53 注册一个域并仍然在其他地方托管 DNS（例如，让我们比如说 Dyn)...或者您可以将 Route 53 用于这两种服务，因为它们是独立的。

Amazon Route 53 支持 DNSSEC 进行域注册

因此，如果您使用 Route 53 注册器注册域，则可以将其配置为使用 DNSSEC...

但不支持 DNS 服务的 DNSSEC。

...但如果您将 Route 53 托管区域用于权威 DNS 托管，则不支持 DNSSEC，无论注册商是谁。

所以……

如果您想为注册到 Amazon Route 53 的域配置 DNSSEC，则必须使用其他 DNS 服务提供商

...托管您的权威 DNS 记录。您不能将 Route 53 托管区域与 DNSSEC 一起使用。

---

¹ 两种不同的服务与此处相关。重点是不同，因为许多其他服务提供商模糊了域注册和权威 DNS 托管之间的区别，以至于许多用户似乎没有意识到它们几乎总是可以解耦，至少在一个方向，不管有问题的提供商。在“Route 53”横幅下还有其他服务，例如 Route 53 Resolver（主要处理 VPC 和/或本地的递归查询）和 Route 53 Health Checks（可用作 DNS 故障转移的基础以及其他健康检查和延迟测量目的，可以但不一定与 DNS 相关）。

【讨论】：

感谢您的帮助！

简单回答：Route53 DNS 服务不支持 DNSSEC（目前）。亚马逊应该清理描述/解释 - 它非常令人困惑。 " 顺便说一句，这也在常见问题解答中 = aws.amazon.com/route53/faqs

常见问题解答：问。 Amazon Route 53 是否支持 DNSSEC？ --- Amazon Route 53 目前不支持 DNS 的 DNSSEC。 . . .

【参考方案2】：

AWS Route 53 现在支持DNSSEC 用于DNSSEC signing（托管服务）和domain registration（注册服务）。

请按照官方指南在此处配置托管区域的DNSSEC signing https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html