web-dev-qa-db-ja.com

Amazon route53DNSSECサポート

使用するDNSホスティングソリューションを決定しようとしています。今日はPowerDNSを使用しており、ホスト型DNSソリューションに移行したいと考えています。私たちにとって最善の解決策は、これにAmazonのroute53を使用することです。 DNSソリューションにはDNS-SECを使用することが義務付けられており、AmazonのDNSがサポートしているものとサポートしていないものを理解しようとしています。

アマゾンのサイトは言う:

Amazon Route 53は、ドメイン登録用のDNSSECをサポートしていますが、DNSサービス用のDNSSECはサポートしていません。 Amazon Route 53に登録されているドメインにDNSSECを設定する場合は、別のDNSサービスプロバイダーを使用する必要があります。

http://docs.aws.Amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html

誰かがこれが何を意味するのか説明できますか?特に、route53に登録されているドメインに対して、サポートされているものとサポートされていないもの、および別のDNSサービスプロバイダーを使用することは何を意味します。

16
royeet

Route 53は、2つの異なるサービスを提供します。

  • ホストゾーンで信頼できるDNSホスティングを提供するDNSホスティングプロバイダー
  • ドメインレジストラ。インターネットで使用するために新しいドメインを登録できます(または既存のドメインの登録を移管して、年間登録料がAWSアカウントの請求書に統合されるようにします)

これらの2つのサービスは、相互に必要な接続はありません。ドメインを認定レジストラ(たとえば、Go Daddy)に登録し、引き続きRoute 53でDNSをホストすることができます...または、ドメインをRoute 53に登録し、引き続きDNSを他の場所でホストすることができます(たとえば、 Dynと言います)...または、独立しているため、両方のサービスにRoute53を使用できます。

Amazon Route 53は、ドメイン登録のためにDNSSECをサポートしています

そのため、Route 53 Registrarにドメインを登録すると、DNSSECを使用するように構成できます...

ただし、DNSサービスのDNSSECはサポートしていません。

...ただし、レジストラが誰であるかに関係なく、DNSSECをサポートしない権限のあるDNSホスティングにRoute53ホストゾーンを使用する場合は除きます。

したがって...

Amazon Route 53に登録されているドメインのDNSSECを設定する場合は、別のDNSサービスプロバイダーを使用する必要があります

...信頼できるDNSレコードをホストします。 DNSSECでRoute53ホストゾーンを使用することはできません。


¹ここに関連する2つの異なるサービス。他の多くのサービスプロバイダーは、ドメイン登録と信頼できるDNSホスティングの区別を曖昧にして、多くのユーザーが気づいていないように見えるため、differentに重点を置くことを目的としています。問題のプロバイダーに関係なく、ほとんどの場合、少なくとも1つの方向で分離できます。また、「Route 53」バナーの下には、 Route 53 Resolver (主にVPCおよび/またはオンプレミスでの再帰クエリを処理する)や Route 53 Health Checks などの他のサービスがあります。 (これは、DNSフェイルオーバーの基礎として使用できるだけでなく、DNSに関連している可能性があるが、必ずしも関連しているとは限らない他のヘルスチェックおよび遅延測定の目的にも使用できます)。

28