发布于: Dec 17, 2020

今天,Amazon Web Services 宣布为 Amazon Route 53 启动域名系统安全扩展 (DNSSEC)。您现在可以为所有的现有和新公有托管区启用 DNSSEC 签名,并为 Amazon Route 53 Resolver 启用 DNSSEC 验证。Amazon Route 53 DNSSEC 为 DNS 提供数据来源认证和数据完整性验证,可以帮助客户满足 FedRAMP 之类的法规要求。

当您在托管区上启用 DNSSEC 签名时,Route 53 将以加密方式对该托管区中的每条记录进行签名。Route 53 将管理区域签名密钥,您可以在 AWS Key Management Service (AWS KMS) 中管理密钥签名密钥。Amazon 的域名注册商 Route 53 Domains 域已经对 DNSSEC 提供支持,客户现在可以在启用 DNSSEC 签名的情况下在 Route 53 上注册域和托管其 DNS。

当您在您的 VPC 中的 Route 53 Resolver 上启用 DNSSEC 验证时,它将确保 DNS 响应在传输期间未被篡改。DNSSEC 验证已在提供 Route 53 Resolver 的所有 AWS 区域推出。

您可以使用 Route 53 API 或 Route 53 控制台启用 DNSSEC 签名和 DNSSEC 验证。 要了解有关 Amazon Route 53 DNSSEC 的更多信息,请参阅文档和 Amazon Route 53 产品页面