1 Respuesta
- Más nuevo
- Más votos
- Más comentarios
0
【以下的回答经过翻译处理】 启用DNSSEC明显会增加对Route 53控制平面和us-east-1 KMS的持续依赖,因为DNSKEY记录集必须每8小时由KSK重新签名并分发到边缘PoP。DNSSEC的依赖关系被设计成非常慢地成为一个问题,有点类似于根域名服务器的运行方式。Route 53提前预签名新的ZSK,并复制到 DNS数据平面,使得我们可以在数周内不断轮换和签名ZSKs,这样依赖关系才成为一个问题。密钥存储在跨多个可用区(相距数英里的数据中心)的KMS中以实现冗余。
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace un año