投稿日: Dec 17, 2020
本日、アマゾン ウェブ サービスは、Amazon Route 53 向けドメインネームシステムセキュリティ拡張機能 (DNSSEC) の開始を発表しました。これで、既存および新規のすべてのパブリックホストゾーンで DNSSEC 署名を、さらに Amazon Route 53 Resolver で DNSSEC 検証を有効にできるようになります。Amazon Route 53 DNSSEC は DNS のデータ発信元認証とデータ整合性検証を行うもので、FedRAMP などのコンプライアンス要件を満たすのに役立ちます。
ホストゾーンで DNSSEC 署名を有効にすると、Route 53 はそのホストゾーンの各レコードに暗号で署名します。Route 53 はゾーン署名キーを管理します。また、AWS Key Management Service (AWS KMS) でキー署名キーを管理できます。Amazon のドメイン名レジストラである Route 53 Domains は既に DNSSEC をサポートしているため、DNSSEC 署名を有効にして Route 53 でドメインを登録し、DNS をホストできるようになりました。
VPC の Route 53 Resolver で DNSSEC 検証を有効にすると、DNS 応答が転送中に改ざんされていないことが保証されます。DNSSEC 検証は、Route 53 Resolver が提供されているすべての AWS リージョンでご利用いただけます。