Route 53的DNSSEC对于us-east-1的故障有多强健？

Question

【以下的问题经过翻译处理】 Route 53控制平面供客户使用，运行在us-east-1。在区域性中断期间，无法进行配置更改，但现有配置仍然可以继续工作（至少从我记得的来看），我不知道是否有离线备份？启用DNSSEC显然增加了对Route 53控制平面和us-east-1 KMS的持续依赖，因为DNSKEY记录集必须由KSK重新签名，每8小时分发到边缘PoP，这会使Route 53区域更少弹性吗？DNSKEY记录集显然是提前签名并分配到PoP的，但是缓冲区有多少？几分钟？一天？一周？如果在23:59 UTC开始或持续时间超过8小时的故障怎么办？是否有某种离线密钥导出和灾难恢复计划，可以在us-east-1中断期间继续进行Route 53 DNSSEC操作？

Answer

【以下的回答经过翻译处理】 启用DNSSEC明显会增加对Route 53控制平面和us-east-1 KMS的持续依赖，因为DNSKEY记录集必须每8小时由KSK重新签名并分发到边缘PoP。DNSSEC的依赖关系被设计成非常慢地成为一个问题，有点类似于根域名服务器的运行方式。Route 53提前预签名新的ZSK，并复制到 DNS数据平面，使得我们可以在数周内不断轮换和签名ZSKs，这样依赖关系才成为一个问题。密钥存储在跨多个可用区（相距数英里的数据中心）的KMS中以实现冗余。

Route 53的DNSSEC对于us-east-1的故障有多强健？

관련 콘텐츠