Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53
<a name="dns-configuring-dnssec"></a>

Penandatanganan Domain Name System Security Extensions (DNSSEC) memungkinkan penyelesai DNS memvalidasi bahwa respons DNS berasal dari Amazon Route 53 dan belum diubah. Ketika Anda menggunakan penandatanganan DNSSEC, setiap respons untuk zona yang di-hosting ditandatangani menggunakan kriptografi kunci publik. Untuk ikhtisar DNSSEC, lihat bagian DNSSEC dari [AWS re:Invent 2021 - Amazon Route](https://www.youtube.com/watch?v=77V23phAaAE) 53: Setahun dalam peninjauan.

Dalam Bab ini, kami menjelaskan cara mengaktifkan penandatanganan DNSSEC untuk Route 53, cara bekerja dengan kunci penandatanganan kunci (KSKs), dan cara memecahkan masalah. Anda dapat bekerja dengan penandatanganan DNSSEC Konsol Manajemen AWS atau secara terprogram dengan API. Untuk informasi lebih lanjut tentang menggunakan CLI atau SDKs untuk bekerja dengan Route 53, lihat. [Siapkan Amazon Route 53](setting-up-route-53.md)

Sebelum Anda mengaktifkan penandatangan DNSSEC, perhatikan hal berikut:
+ Untuk membantu mencegah pemadaman zona dan menghindari masalah dengan domain yang menjadi tidak tersedia, Anda harus cepat mengatasi dan menyelesaikan kesalahan DNSSEC. Kami sangat menyarankan agar Anda mengatur CloudWatch alarm yang memberi tahu Anda setiap kali `DNSSECKeySigningKeysNeedingAction` kesalahan `DNSSECInternalFailure` atau terdeteksi. Untuk informasi selengkapnya, lihat [Memantau zona yang dihosting menggunakan Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md).
+ Ada dua jenis kunci dalam DNSSEC: kunci penandatanganan kunci (KSK) dan kunci penandatanganan zona (ZSK). Dalam penandatanganan DNSSEC Route 53, setiap KSK didasarkan pada [kunci yang dikelola pelanggan asimetris](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#asymmetric-keys-concept) yang Anda miliki. AWS KMS Anda bertanggung jawab atas manajemen KSK, yang mencakup rotasi jika diperlukan. Manajemen ZSK dilakukan oleh Route 53.
+ Jika Anda mengaktifkan penandatanganan DNSSEC untuk zona yang di-hosting, Route 53 membatasi TTL menjadi satu minggu. Jika Anda menetapkan TTL lebih dari satu minggu untuk catatan di zona yang di-hosting, Anda tidak akan mendapatkan kesalahan. Namun, Route 53 memberlakukan TTL selama satu minggu untuk catatan. Catatan yang memiliki TTL kurang dari satu minggu dan catatan di zona yang di-hosting lain dengan penandatangan DNSSEC yang dinonktifkan tidak akan terpengaruh. 
+ Ketika Anda menggunakan penandatanganan DNSSEC, konfigurasi multi-vendor tidak didukung. Jika Anda telah mengonfigurasi server nama label putih (juga dikenal sebagai server nama vanity atau server nama pribadi), pastikan server nama tersebut disediakan oleh penyedia DNS tunggal.
+ Beberapa penyedia DNS tidak mendukung catatan Delegation Signer (DS) dalam DNS otoritatif mereka. Jika zona induk Anda di-host oleh penyedia DNS yang tidak mendukung kueri DS (tidak menyetel tanda AA dalam respons kueri DS), maka saat Anda mengaktifkan DNSSEC di zona turunannya, zona anak akan menjadi tidak dapat diselesaikan. Pastikan penyedia DNS Anda mendukung catatan DS.
+ Hal ini dapat membantu untuk menyiapkan izin IAM guna mengizinkan pengguna lain, selain pemilik zona, untuk menambah atau menghapus catatan di zona. Sebagai contoh, pemilik zona dapat menambahkan KSK dan mengaktifkan penandatanganan, dan mungkin juga bertanggung jawab atas rotasi kunci. Namun, orang lain mungkin bertanggung jawab untuk bekerja dengan catatan lain pada zona yang di-hosting. Untuk contoh kebijakan IAM, lihat [Contoh izin untuk pemilik catatan domain](access-control-managing-permissions.md#example-permissions-record-owner) .
+ Untuk memeriksa apakah TLD memiliki dukungan DNSSEC, lihat. [Domain yang dapat Anda daftarkan dengan Amazon Route 53](registrar-tld-list.md)

**Topics**
+ [Mengaktifkan penandatanganan DNSSEC dan membuat rantai kepercayaan](dns-configuring-dnssec-enable-signing.md)
+ [Menonaktifkan penandatanganan DNSSEC](dns-configuring-dnssec-disable.md)
+ [Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md)
+ [Bekerja dengan kunci penandatanganan kunci () KSKs](dns-configuring-dnssec-ksk.md)
+ [Kunci KMS dan manajemen ZSK di Rute 53](dns-configuring-dnssec-zsk-management.md)
+ [Bukti DNSSEC tentang ketidakberadaan di Route 53](dns-configuring-dnssec-proof-of-nonexistence.md)
+ [Memecahkan masalah penandatanganan DNSSEC](dns-configuring-dnssec-troubleshoot.md)

# Mengaktifkan penandatanganan DNSSEC dan membuat rantai kepercayaan
<a name="dns-configuring-dnssec-enable-signing"></a>

****  
Langkah-langkah tambahan berlaku untuk pemilik zona yang dihosting dan pengelola zona induk. Ini bisa menjadi orang yang sama, tetapi jika tidak, pemilik zona harus memberi tahu dan bekerja dengan pengelola zona induk.

Kami merekomendasikan mengikuti langkah-langkah dalam artikel ini agar zona Anda ditandatangani dan dimasukkan dalam rantai kepercayaan. Langkah-langkah berikut akan meminimalkan risiko orientasi ke DNSSEC.

**catatan**  
Pastikan Anda membaca prasyarat sebelum memulai. [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md)

Ada tiga langkah yang harus diambil untuk mengaktifkan penandatanganan DNSSEC, seperti yang dijelaskan di bagian berikut. 

**Topics**
+ [Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)
+ [Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK](#dns-configuring-dnssec-enable)
+ [Langkah 3: Membangun rantai kepercayaan](#dns-configuring-dnssec-chain-of-trust)

## Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC
<a name="dns-configuring-dnssec-enable-signing-step-1"></a>

Langkah-langkah persiapan membantu Anda meminimalkan risiko orientasi ke DNSSEC dengan memantau ketersediaan zona dan menurunkan waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS).

**Untuk mempersiapkan untuk mengaktifkan penandatanganan DNSSEC**

1. Pantau ketersediaan zona.

   Anda dapat memantau zona untuk ketersediaan nama domain Anda. Ini dapat membantu Anda mengatasi masalah apa pun yang mungkin memerlukan mundur selangkah setelah Anda mengaktifkan penandatanganan DNSSEC. Anda dapat memantau nama domain Anda dengan sebagian besar lalu lintas dengan menggunakan pencatatan kueri. Untuk informasi selengkapnya tentang menyiapkan pencatatan kueri, lihat[Memantau Amazon Route 53](monitoring-overview.md).

   Pemantauan dapat dilakukan melalui skrip shell, atau melalui layanan pihak ketiga. Namun, seharusnya tidak menjadi satu-satunya sinyal untuk menentukan apakah rollback diperlukan. Anda mungkin juga mendapatkan umpan balik dari pelanggan Anda karena domain tidak tersedia.

1. Turunkan TTL maksimum zona.

   TTL maksimum zona adalah rekor TTL terpanjang di zona tersebut. Di zona contoh berikut, TTL maksimum zona adalah 1 hari (86400 detik).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)

   Menurunkan TTL maksimum zona akan membantu mengurangi waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS). Kami merekomendasikan untuk menurunkan TTL maksimum zona menjadi 1 jam (3600 detik). Ini memungkinkan Anda untuk memutar kembali setelah hanya satu jam jika ada penyelesai yang memiliki masalah dengan catatan yang ditandatangani caching.

   **Rollback:** batalkan perubahan TTL.

1. Turunkan bidang minimum SOA TTL dan SOA.

   Bidang minimum SOA adalah bidang terakhir dalam data catatan SOA. Dalam contoh berikut catatan SOA, bidang minimum memiliki nilai 5 menit (300 detik).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)

   Bidang minimum SOA TTL dan SOA menentukan berapa lama resolver mengingat jawaban negatif. Setelah Anda mengaktifkan penandatanganan, server nama Route 53 mulai mengembalikan catatan NSEC untuk jawaban negatif. NSEC berisi informasi yang mungkin digunakan resolver untuk mensintesis jawaban negatif. Jika Anda harus memutar kembali karena informasi NSEC menyebabkan resolver mengasumsikan jawaban negatif untuk sebuah nama, maka Anda hanya perlu menunggu maksimum bidang minimum SOA TTL dan SOA agar resolver menghentikan asumsi.

   **Rollback:** batalkan perubahan SOA.

1. Pastikan perubahan bidang minimum TTL dan SOA efektif.

   Gunakan [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)untuk memastikan perubahan Anda sejauh ini telah disebarkan ke semua server DNS Route 53.

## Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK
<a name="dns-configuring-dnssec-enable"></a>

Anda dapat mengaktifkan penandatanganan DNSSEC dan membuat kunci penandatanganan kunci (KSK) dengan menggunakan AWS CLI atau di konsol Route 53.
+ [CLI](#dnssec_CLI)
+ [Konsol](#dnssec_console)

Saat Anda memberikan atau membuat kunci KMS, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat [Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

------
#### [ CLI ]

Anda dapat menggunakan kunci yang sudah Anda miliki, atau membuatnya dengan menjalankan AWS CLI perintah seperti berikut menggunakan nilai Anda sendiri untuk`hostedzone_id`,`cmk_arn`,`ksk_name`, dan `unique_string` (untuk membuat permintaan unik):

```
aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string
```

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat[Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md). Lihat juga [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html).

Untuk mengaktifkan penandatanganan DNSSEC, jalankan AWS CLI perintah seperti berikut, menggunakan nilai Anda sendiri untuk: `hostedzone_id`

```
aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id
```

Untuk informasi lebih lanjut, lihat [enable-hosted-zone-dnssec](https://docs.aws.amazon.com/cli/latest/reference/route53/enable-hosted-zone-dnssec.html)dan [EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html).

------
#### [ Console ]<a name="dns-configuring-dnssec-enable-procedure"></a>

**Cara mengaktifkan penandatanganan DNSSEC dan membuat KSK**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **zona yang di-hosting**, lalu pilih zona yang di-hosting dengan penandatanganan DNSSEC yang ingin Anda aktifkan.

1. Di tab **Penandatanganan DNSSEC**, pilih **Aktifkan penandatanganan DNSSEC**.
**catatan**  
Jika opsi di bagian ini adalah **Nonaktifkan penandatanganan DNSSEC**, Anda telah menyelesaikan langkah pertama dalam mengaktifkan penandatanganan DNSSEC. Pastikan bahwa Anda membuat, atau sudah ada, rantai kepercayaan bagi zona yang di-hosting untuk DNSSEC, lalu Anda selesai. Untuk informasi selengkapnya, lihat [Langkah 3: Membangun rantai kepercayaan](#dns-configuring-dnssec-chain-of-trust).

1. Di bagian **pembuatan Kunci Penandatanganan Kunci (KSK)**, pilih **Buat KSK baru**, dan di bawah **Berikan nama KSK, masukkan nama** untuk KSK yang akan dibuat Route 53 untuk Anda. Nama dapat mencakup angka, huruf, dan garis bawah (\$1). Nama ini harus unik.

1. Di bawah **CMK yang dikelola Pelanggan**, pilih kunci terkelola pelanggan untuk Route 53 untuk digunakan saat membuat KSK untuk Anda. Anda dapat menggunakan kunci terkelola pelanggan yang sudah ada yang berlaku untuk penandatanganan DNSSEC, atau membuat kunci terkelola pelanggan baru.

   Saat Anda memberikan atau membuat kunci yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat [Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

1. Masukkan alias untuk kunci terkelola pelanggan yang sudah ada. Jika Anda ingin menggunakan kunci terkelola pelanggan baru, masukkan alias untuk kunci yang dikelola pelanggan, dan Route 53 akan membuatnya untuk Anda.
**catatan**  
Jika Anda memilih agar Route 53 membuat kunci terkelola pelanggan, ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Harga Layananan Manajemen Kunci AWS](https://aws.amazon.com/kms/pricing/).

1. Pilih **Aktifkan penandatanganan DNSSEC**.

------

**Setelah Anda mengaktifkan penandatanganan zona, selesaikan langkah-langkah berikut** (apakah Anda menggunakan konsol atau CLI):

1. Pastikan penandatanganan zona efektif.

   Jika digunakan AWS CLI, Anda dapat menggunakan Id operasi dari output `EnableHostedZoneDNSSEC()` panggilan untuk menjalankan [get-change](https://docs.aws.amazon.com/cli/latest/reference/route53/get-change.html) atau [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)untuk memastikan bahwa semua Server DNS Route 53 menandatangani tanggapan (status =). `INSYNC`

1. Tunggu setidaknya TTL maksimum zona sebelumnya.

   Tunggu resolver untuk menghapus semua catatan yang tidak ditandatangani dari cache mereka. Untuk mencapai ini, Anda harus menunggu setidaknya TTL maksimum zona sebelumnya. Di `example.com` zona di atas, waktu tunggu adalah 1 hari.

1. Memantau laporan masalah pelanggan.

   Setelah Anda mengaktifkan penandatanganan zona, pelanggan Anda mungkin mulai melihat masalah yang terkait dengan perangkat jaringan dan resolver. Periode pemantauan yang disarankan adalah 2 minggu.

   Berikut ini adalah contoh masalah yang mungkin Anda lihat:
   + Beberapa perangkat jaringan dapat membatasi ukuran respons DNS hingga di bawah 512 byte, yang terlalu kecil untuk beberapa respons yang ditandatangani. Perangkat jaringan ini harus dikonfigurasi ulang untuk memungkinkan ukuran respons DNS yang lebih besar.
   + Beberapa perangkat jaringan melakukan inspeksi mendalam pada respons DNS dan menghapus catatan tertentu yang tidak dimengerti, seperti yang digunakan untuk DNSSEC. Perangkat ini harus dikonfigurasi ulang.
   + Beberapa resolver pelanggan mengklaim bahwa mereka dapat menerima respons UDP yang lebih besar daripada dukungan jaringan mereka. Anda dapat menguji kemampuan jaringan Anda dan mengkonfigurasi resolver Anda dengan tepat. Untuk informasi selengkapnya lihat, [DNS Reply Size Test Server](https://www.dns-oarc.net/oarc/services/replysizetest/).

**Rollback:** panggil [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) lalu kembalikan langkah-langkahnya. [Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)

## Langkah 3: Membangun rantai kepercayaan
<a name="dns-configuring-dnssec-chain-of-trust"></a>

Setelah Anda mengaktifkan penandatanganan DNSSEC untuk zona yang di-hosting di Route 53, buat rantai kepercayaan untuk zona yang di-hosting guna menyelesaikan penyiapan penandatanganan DNSSEC. Anda melakukan ini dengan membuat catatan Delegation Signer (DS) di zona yang di-hosting *induk*, untuk zona yang di-hosting, menggunakan informasi yang disediakan Route 53. Tergantung pada tempat domain terdaftar, Anda menambahkan catatan ke zona yang di-hosting induk di Route 53 atau registrar domain lain.<a name="dns-configuring-dnssec-chain-of-trust-procedure"></a>

**Cara membuat rantai kepercayaan untuk penandatanganan DNSSEC**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **zona yang di-hosting**, lalu pilih zona yang di-hosting yang ingin dibuatkan rantai kepercayaan DNSSEC. *Anda harus mengaktifkan penandatanganan DNSSEC terlebih dahulu.*

1. Di tab **Penandatanganan DNSSEC**, di bawah **Penandatanganan DNSSEC**, pilih **Lihat informasi untuk membuat catatan DS**.
**catatan**  
Jika tidak melihat **Lihat informasi untuk membuat catatan DS** di bagian ini, Anda harus mengaktifkan penandatanganan DNSSEC sebelum membuat rantai kepercayaan. Pilih **Aktifkan penandatanganan DNSSEC** dan selesaikan langkah-langkah seperti yang dijelaskan[Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK](#dns-configuring-dnssec-enable), lalu kembali ke langkah-langkah ini untuk membangun rantai kepercayaan.

1. Di bawah **Buat rantai kepercayaan**, pilih salah satu **Registrar Route 53** atau **Registrar domain lainnya**, tergantung tempat domain Anda terdaftar.

1. Gunakan nilai yang disediakan dari langkah 3 untuk membuat catatan DS untuk zona host induk di Route 53. Jika domain Anda tidak di-host di Route 53, gunakan nilai yang disediakan untuk membuat catatan DS di situs web registrar domain Anda. 

   Membangun rantai kepercayaan untuk zona induk:
   + Jika domain Anda dikelola melalui Route 53, ikuti langkah-langkah berikut:

     Pastikan Anda mengonfigurasi algoritma penandatanganan yang benar (ECDSAP256SHA256 dan ketik 13) dan algoritma intisari (SHA-256 dan tipe 2). 

     Jika Route 53 adalah registrar Anda, lakukan hal berikut di konsol Route 53:

     1. Catat nilai **Jenis kunci**, **Algoritme**, dan **Kunci publik**. Di panel navigasi, pilih **Domain terdaftar**.

     1. Pilih domain, dan kemudian, dalam tab **kunci DNSSEC, pilih **Tambah** kunci**.

     1. Dalam kotak dialog **Kelola kunci DNSSEC**, pilih **jenis Kunci** dan **Algoritma** yang sesuai untuk **registrar Route 53** dari menu tarik-turun.

     1. Salin **Kunci publik** untuk registrar Route 53. Di kotak dialog **Kelola kunci DNSSEC**, tempelkan nilainya ke kotak **kunci Publik**.

     1. Pilih **Tambahkan**.

         Route 53 akan menambahkan catatan DS ke zona induk dari kunci publik. Misalnya, jika domain Anda`example.com`, catatan DS ditambahkan ke zona DNS.com.
   + Jika domain Anda dikelola di registri lain, ikuti instruksi di bagian **Registrar domain lain**.

     Untuk memastikan langkah-langkah berikut berjalan lancar, perkenalkan DS TTL rendah ke zona induk. Kami merekomendasikan pengaturan DS TTL ke 5 menit (300 detik) untuk pemulihan yang lebih cepat jika Anda perlu mengembalikan perubahan Anda.
     + Membangun rantai kepercayaan untuk zona anak:

       Jika zona induk Anda dikelola oleh registri lain, hubungi registrar Anda untuk memperkenalkan catatan DS untuk zona Anda. Biasanya Anda tidak akan dapat menyesuaikan TTL dari catatan DS.
     + Jika zona induk Anda di-host di Route 53, hubungi pemilik zona induk untuk memperkenalkan catatan DS untuk zona Anda. 

       Berikan `$ds_record_value` kepada pemilik zona induk. Anda bisa mendapatkannya dengan mengklik **Lihat Informasi untuk membuat catatan DS** di konsol dan menyalin bidang **catatan DS**, atau dengan memanggil [GetDNSSec](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetDNSSEC.html) API dan mengambil nilai bidang '': DSRecord

       ```
       aws --region us-east-1 route53 get-dnssec 
                   --hosted-zone-id $hostedzone_id
       ```

       Pemilik zona induk dapat memasukkan catatan melalui konsol Route 53 atau CLI.
       +  Untuk menyisipkan catatan DS dengan menggunakan AWS CLI, pemilik zona induk membuat dan memberi nama file JSON yang mirip dengan contoh berikut. Pemilik zona induk mungkin memberi nama file seperti itu`inserting_ds.json`. 

         ```
         {
             "HostedZoneId": "$parent_zone_id",
             "ChangeBatch": {
                 "Comment": "Inserting DS for zone $zone_name",
                 "Changes": [
                     {
                         "Action": "UPSERT",
                         "ResourceRecordSet": {
                             "Name": "$zone_name",
                             "Type": "DS",
                             "TTL": 300,
                             "ResourceRecords": [
                                 {
                                     "Value": "$ds_record_value"
                                 }
                             ]
                         }
                     }
                 ]
             }
         }
         ```

         Kemudian jalankan perintah berikut:

         ```
         aws --region us-east-1 route53 change-resource-record-sets 
                     --cli-input-json file://inserting_ds.json
         ```
       + Untuk memasukkan catatan DS dengan menggunakan konsol, 

         Buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

         Di panel navigasi, pilih Zona yang **dihosting, nama zona** yang dihosting, lalu tombol **Buat rekam**. Pastikan Anda memilih Perutean sederhana untuk kebijakan **Routing.**

         Di bidang **Nama rekam** masukkan nama yang sama dengan`$zone_name`, pilih DS dari **jenis Rekam** tarik-turun, dan masukkan nilai `$ds_record_value` ke dalam bidang **Nilai**, dan pilih **Buat catatan**.

   **Rollback:** hapus DS dari zona induk, tunggu DS TTL, lalu putar kembali langkah-langkah untuk membangun kepercayaan. Jika zona induk di-host di Route 53, pemilik zona induk dapat mengubah `Action` dari `UPSERT` ke `DELETE` dalam file JSON, dan menjalankan kembali contoh CLI di atas.

1. Tunggu pembaruan disebarkan, berdasarkan TTL untuk catatan domain Anda.

   Jika zona induk ada di layanan DNS Route 53, pemilik zona induk dapat mengonfirmasi propagasi penuh melalui API. [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)

   Jika tidak, Anda dapat secara berkala menyelidiki zona induk untuk catatan DS, dan kemudian menunggu 10 menit setelahnya untuk meningkatkan kemungkinan penyisipan catatan DS disebarkan sepenuhnya. Perhatikan bahwa beberapa pendaftar telah menjadwalkan penyisipan DS, misalnya, sekali sehari.

Saat Anda memperkenalkan catatan Penandatangan Delegasi (DS) di zona induk, resolver tervalidasi yang telah mengambil DS akan mulai memvalidasi tanggapan dari zona tersebut.

Untuk memastikan langkah-langkah membangun kepercayaan berjalan lancar, selesaikan hal-hal berikut:

1. Temukan NS TTL maksimum.

   Ada 2 set catatan NS yang terkait dengan zona Anda:
   + Catatan NS delegasi — ini adalah catatan NS untuk zona Anda yang dipegang oleh zona induk. Anda dapat menemukannya dengan menjalankan perintah Unix berikut (jika zona Anda adalah example.com, zona induknya adalah com):

     `dig -t NS com`

     Pilih salah satu catatan NS dan kemudian jalankan yang berikut ini:

     `dig @one of the NS records of your parent zone -t NS example.com`

     Contoh:

     `dig @b.gtld-servers.net. -t NS example.com`
   + Catatan NS dalam zona — ini adalah catatan NS di zona Anda. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

     `dig @one of the NS records of your zone -t NS example.com`

     Contoh:

     `dig @ns-0000.awsdns-00.co.uk. -t NS example.com`

     Perhatikan TTL maksimum untuk kedua zona.

1. Tunggu NS TTL maksimum.

   Sebelum penyisipan DS, resolver mendapatkan respons yang ditandatangani, tetapi tidak memvalidasi tanda tangan. Ketika catatan DS dimasukkan, resolver tidak akan melihatnya sampai catatan NS untuk zona berakhir. Ketika resolver mengambil kembali catatan NS, catatan DS kemudian akan dikembalikan.

   Jika pelanggan Anda menjalankan resolver pada host dengan jam yang tidak sinkron, pastikan jam berada dalam 1 jam dari waktu yang benar.

   Setelah menyelesaikan langkah ini, semua resolver yang sadar DNSSEC akan memvalidasi zona Anda.

1. Amati resolusi nama.

   Anda harus memperhatikan bahwa tidak ada masalah dengan resolver yang memvalidasi zona Anda. Pastikan Anda juga memperhitungkan waktu yang dibutuhkan pelanggan Anda untuk melaporkan masalah kepada Anda.

   Kami merekomendasikan pemantauan hingga 2 minggu.

1. (Opsional) Perpanjang DS dan NS TTLs.

   Jika Anda puas dengan pengaturan, Anda dapat menyimpan perubahan TTL dan SOA yang Anda buat. Perhatikan bahwa Rute 53 membatasi TTL hingga 1 minggu untuk zona yang ditandatangani. Untuk informasi selengkapnya, lihat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).

   Jika Anda dapat mengubah DS TTL, kami sarankan Anda mengaturnya ke 1 jam.

# Menonaktifkan penandatanganan DNSSEC
<a name="dns-configuring-dnssec-disable"></a>

Langkah untuk menonaktifkan penandatanganan DNSSEC Route 53 dapat beragam, tergantung pada rantai kepercayaan yang menjadi bagian dari zona yang di-hosting. 

Misalnya, zona yang di-hosting Anda mungkin memiliki zona induk yang memiliki catatan Delegation Signer (DS), sebagai bagian dari rantai kepercayaan. Zona yang di-hosting mungkin juga adalah zona induk untuk zona anak yang telah mengaktifkan penandatanganan DNSSEC, yang merupakan bagian lain dari rantai kepercayaan. Selidiki dan tentukan rantai kepercayaan penuh untuk zona yang di-hosting sebelum Anda mengambil langkah untuk menonaktifkan penandatanganan DNSSEC.

Rantai kepercayaan untuk zona yang di-hosting yang mengizinkan penandatanganan DNSSEC harus dibatalkan secara hati-hati saat Anda menonaktifkan penandatanganan. Untuk menghapus zona yang di-hosting dari rantai kepercayaan, Anda menghapus semua catatan DS yang ada untuk rantai kepercayaan yang mencakup zona yang di-hosting ini. Ini berarti Anda harus melakukan hal berikut, agar dapat:

1. Menghapus catatan DS yang dimiliki zona yang di-hosting untuk zona anak yang merupakan bagian dari rantai kepercayaan.

1. Hapus catatan DS dari zona induk. Lewati langkah ini jika Anda memiliki pulau kepercayaan (tidak ada catatan DS di zona induk dan tidak ada catatan DS untuk zona anak di zona ini). 

1. Jika Anda tidak dapat menghapus catatan DS, untuk menghapus zona dari rantai kepercayaan, hapus catatan NS dari zona induk. Untuk informasi selengkapnya, lihat [Menambahkan atau mengubah server nama dan merekatkan catatan untuk domain](domain-name-servers-glue-records.md).

Langkah-langkah tambahan berikut memungkinkan Anda memantau efektivitas langkah-langkah individual untuk menghindari masalah ketersediaan DNS di zona Anda.

**Cara menonaktifkan penandatanganan DNSSEC**

1. Pantau ketersediaan zona.

   Anda dapat memantau zona untuk ketersediaan nama domain Anda. Ini dapat membantu Anda mengatasi masalah apa pun yang mungkin memerlukan mundur selangkah setelah Anda mengaktifkan penandatanganan DNSSEC. Anda dapat memantau nama domain Anda dengan sebagian besar lalu lintas dengan menggunakan pencatatan kueri. Untuk informasi selengkapnya tentang menyiapkan pencatatan kueri, lihat[Memantau Amazon Route 53](monitoring-overview.md).

   Pemantauan dapat dilakukan melalui skrip shell, atau melalui layanan berbayar. Namun, seharusnya tidak menjadi satu-satunya sinyal untuk menentukan apakah rollback diperlukan. Anda mungkin juga mendapatkan umpan balik dari pelanggan Anda karena domain tidak tersedia.

1. Temukan DS TTL saat ini.

   Anda dapat menemukan DS TTL dengan menjalankan perintah Unix berikut:

   `dig -t DS example.com example.com`

1. Temukan NS TTL maksimum.

   Ada 2 set catatan NS yang terkait dengan zona Anda:
   + Catatan NS delegasi — ini adalah catatan NS untuk zona Anda yang dipegang oleh zona induk. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

     Pertama temukan NS zona induk Anda (jika zona Anda adalah example.com, zona induknya adalah com):

     `dig -t NS com`

     Pilih salah satu catatan NS dan kemudian jalankan yang berikut ini:

     `dig @one of the NS records of your parent zone -t NS example.com`

     Contoh:

     `dig @b.gtld-servers.net. -t NS example.com`
   + Catatan NS dalam zona — ini adalah catatan NS di zona Anda. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

     `dig @one of the NS records of your zone -t NS example.com`

     Contoh:

     `dig @ns-0000.awsdns-00.co.uk. -t NS example.com`

     Perhatikan TTL maksimum untuk kedua zona.

1. Hapus catatan DS dari zona induk. 

   Hubungi pemilik zona induk untuk menghapus catatan DS.

   **Rollback:** masukkan kembali catatan DS, konfirmasikan penyisipan DS efektif, dan tunggu TTL NS (bukan DS) maksimum sebelum semua resolver mulai memvalidasi lagi.

1. Konfirmasikan penghapusan DS efektif.

   Jika zona induk ada di layanan DNS Route 53, pemilik zona induk dapat mengonfirmasi propagasi penuh melalui API. [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)

   Jika tidak, Anda dapat secara berkala menyelidiki zona induk untuk catatan DS, dan kemudian menunggu 10 menit setelahnya untuk meningkatkan kemungkinan penghapusan catatan DS disebarkan sepenuhnya. Perhatikan bahwa beberapa pendaftar telah menjadwalkan penghapusan DS, misalnya sekali sehari.

1. Tunggu DS TTL.

   Tunggu sampai semua resolver telah kedaluwarsa catatan DS dari cache mereka.

1. Nonaktifkan penandatanganan DNSSEC dan nonaktifkan kunci penandatanganan kunci (KSK).
   + [CLI](#CLI_dnssec_disable)
   + [Konsol](#console_dnssec_disable)

------
#### [ CLI ]

   Hubungi [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) dan. [DeactivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeactivateKeySigningKey.html) APIs

   Contoh:

   ```
   aws --region us-east-1 route53 disable-hosted-zone-dnssec \
               --hosted-zone-id $hostedzone_id
   
   aws --region us-east-1 route53 deactivate-key-signing-key \
               --hosted-zone-id $hostedzone_id --name $ksk_name
   ```

------
#### [ Console ]

   **Untuk menonaktifkan penandatanganan DNSSEC**

   1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   1. Di panel navigasi, pilih **Zona yang di-hosting**, lalu pilih zona yang di-hosting dengan penandatanganan DNSSEC yang ingin Anda nonaktifkan.

   1. Di tab **Penandatanganan DNSSEC**, pilih **Nonaktifkan penandatanganan DNSSEC**.

   1. Di halaman **Nonaktifkan penandatanganan**, pilih salah satu opsi berikut, tergantung skenario Anda untuk zona dengan penandatangan DNSSEC yang dinonaktifkan.
      + **Zona induk saja** — Zona ini memiliki zona induk dengan catatan DS. Dalam skenario ini, Anda harus menghapus catatan DS zona induk.
      + **Zona anak saja** — Zona ini memiliki catatan DS untuk rantai kepercayaan dengan satu atau lebih zona anak. Dalam skenario ini, Anda harus menghapus catatan DS zona.
      + **Zona induk dan anak** — Zona ini memiliki catatan DS untuk rantai kepercayaan dengan satu atau lebih zona anak *dan* zona induk dengan catatan DS. Dalam skenario ini, lakukan hal-hal berikut, untuk dapat:

        1. Menghapus catatan DS zona.

        1. Menghapus catatan DS zona induk.

        Jika Anda memiliki pulau kepercayaan, Anda dapat melewati langkah ini.

   1. Tentukan apa TTL untuk setiap catatan DS yang Anda hapus di Langkah 4. , Pastikan periode TTL terpanjang telah kedaluwarsa.

   1. Pilih kotak centang untuk mengonfirmasi bahwa Anda telah mengikuti langkah-langkah secara berurutan.

   1. Ketik *Nonaktifkan* di bidang, seperti yang ditampilkan, lalu pilih **Nonaktifkan**.

   **Untuk menonaktifkan kunci penandatanganan kunci (KSK)**

   1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

   1. Di panel navigasi, pilih Zona yang **dihosting, lalu pilih zona** yang dihosting yang ingin Anda nonaktifkan kunci penandatanganan kunci (KSK).

   1. **Di bagian **Tombol penandatanganan kunci (KSKs)**, pilih KSK yang ingin Anda nonaktifkan, dan di bawah **Tindakan**, pilih **Edit KSK, atur status KSK** **ke **Tidak Aktif**, lalu pilih Simpan KSK**.**

------

   **Rollback:** [panggilan [ActivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ActivateKeySigningKey.html)dan EnableHostedZone DNSSEC.](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html) APIs

   Contoh:

   ```
   aws --region us-east-1 route53 activate-key-signing-key \
               --hosted-zone-id $hostedzone_id --name $ksk_name
   
   aws --region us-east-1 route53 enable-hosted-zone-dnssec \
               --hosted-zone-id $hostedzone_id
   ```

1. Konfirmasikan penonaktifan penandatanganan zona efektif.

   Gunakan Id dari `EnableHostedZoneDNSSEC()` panggilan untuk menjalankan [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)untuk memastikan bahwa semua Server DNS Route 53 telah berhenti menandatangani tanggapan (status =`INSYNC`).

1. Amati resolusi nama.

   Anda harus mengamati bahwa tidak ada masalah yang mengakibatkan resolver memvalidasi zona Anda. Biarkan 1-2 minggu untuk memperhitungkan waktu yang dibutuhkan pelanggan Anda untuk melaporkan masalah kepada Anda.

1. (Opsional) Bersihkan.

   Jika Anda tidak akan mengaktifkan kembali penandatanganan, Anda dapat membersihkan KSKs [DeleteKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteKeySigningKey.html)dan menghapus kunci yang dikelola pelanggan yang sesuai untuk menghemat biaya.

# Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC
<a name="dns-configuring-dnssec-cmk-requirements"></a>

Saat Anda mengaktifkan penandatanganan DNSSEC di Amazon Route 53, Route 53 akan membuat kunci penandatanganan kunci (KSK) untuk Anda. Untuk membuat KSK, Route 53 harus menggunakan kunci yang dikelola pelanggan AWS Key Management Service yang mendukung DNSSEC. Bagian ini menjelaskan detail dan persyaratan untuk kunci yang dikelola pelanggan yang berguna untuk diketahui saat Anda bekerja dengan DNSSEC.

Ingatlah hal-hal berikut saat Anda bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC:
+ Kunci terkelola pelanggan yang Anda gunakan dengan penandatanganan DNSSEC harus berada di Wilayah AS Timur (Virginia N.). 
+ Kunci yang dikelola pelanggan harus berupa kunci yang [dikelola pelanggan asimetris dengan spesifikasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html#asymmetric-cmks) [ECC\$1NIST\$1P256](https://docs.aws.amazon.com//kms/latest/developerguide/asymmetric-key-specs.html#key-spec-ecc). Kunci yang dikelola pelanggan ini hanya digunakan untuk penandatanganan dan verifikasi. Untuk bantuan membuat kunci terkelola pelanggan asimetris, lihat [Membuat kunci terkelola pelanggan asimetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-asymmetric-cmk) di Panduan AWS Key Management Service Pengembang. Untuk bantuan menemukan konfigurasi kriptografi dari kunci terkelola pelanggan yang sudah ada, lihat [Melihat konfigurasi kriptografi kunci yang dikelola pelanggan di Panduan](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-crypto-config.html) AWS Key Management Service Pengembang.
+ Jika Anda membuat sendiri kunci terkelola pelanggan untuk digunakan dengan DNSSEC di Route 53, Anda harus menyertakan pernyataan kebijakan kunci tertentu yang memberikan izin yang diperlukan kepada Route 53. Route 53 harus dapat mengakses kunci yang dikelola pelanggan Anda sehingga dapat membuat KSK untuk Anda. Untuk informasi selengkapnya, lihat [Route 53 izin kunci terkelola pelanggan yang diperlukan untuk penandatanganan DNSSEC](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC).
+ Route 53 dapat membuat kunci terkelola pelanggan untuk Anda gunakan dengan penandatanganan DNSSEC tanpa izin tambahan AWS KMS . AWS KMS Namun, Anda harus memiliki izin khusus jika ingin mengedit kunci setelah dibuat. Izin khusus yang harus Anda miliki adalah sebagai berikut: `kms:UpdateKeyDescription`, `kms:UpdateAlias`, dan `kms:PutKeyPolicy`.
+ Ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci terkelola pelanggan yang Anda miliki, apakah Anda membuat kunci yang dikelola pelanggan atau Route 53 membuatnya untuk Anda. Untuk informasi selengkapnya, lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

# Bekerja dengan kunci penandatanganan kunci () KSKs
<a name="dns-configuring-dnssec-ksk"></a>

Jika Anda mengaktifkan pendatanganan DNSSEC, Route 53 membuat kunci penandatanganan kunci (KSK) untuk Anda. Anda dapat memiliki hingga dua KSKs per zona yang dihosting di Route 53. Setelah mengaktifkan penandatanganan DNSSEC, Anda dapat menambahkan, menghapus, atau mengedit. KSKs

Perhatikan hal berikut ketika Anda bekerja dengan Anda KSKs:
+ Sebelum dapat menghapus KSK, Anda harus mengedit KSK untuk mengatur statusnya ke **Tidak aktif**. 
+ Jika penandatanganan DNSSEC diaktifkan untuk zona yang di-hosting, Route 53 membatasi TTL menjadi satu minggu. Jika Anda menetapkan TTL untuk catatan di zona yang di-hosting ke lebih dari satu minggu, Anda tidak akan mendapatkan kesalahan, namun Route 53 memberlakukan TTL selama satu minggu.
+ Untuk membantu mencegah pemadaman zona dan menghindari masalah tidak tersedianya domain Anda, Anda harus cepat mengatasi dan menyelesaikan kesalahan DNSSEC. Kami sangat menyarankan agar Anda mengatur CloudWatch alarm yang memberi tahu Anda setiap kali `DNSSECKeySigningKeysNeedingAction` kesalahan `DNSSECInternalFailure` atau terdeteksi. Untuk informasi selengkapnya, lihat [Memantau zona yang dihosting menggunakan Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md).
+ Operasi KSK yang dijelaskan di bagian ini memungkinkan Anda untuk memutar zona Anda. KSKs Untuk informasi selengkapnya dan step-by-step contoh, lihat *Rotasi Kunci DNSSEC* di posting blog [Mengonfigurasi penandatanganan dan validasi DNSSEC](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-dnssec-signing-and-validation-with-amazon-route-53/) dengan Amazon Route 53.

Untuk bekerja dengan KSKs di Konsol Manajemen AWS, ikuti panduan di bagian berikut.

## Menambahkan kunci penandatanganan kunci (KSK)
<a name="dns-configuring-dnssec-ksk-add-ksk"></a>

Jika Anda mengaktifkan pendatanganan DNSSEC, Route 53 membuat kunci penandatanganan kunci (KSK) untuk Anda. Anda juga dapat menambahkan KSKs secara terpisah. Anda dapat memiliki hingga dua KSKs per zona yang dihosting di Route 53. 

Ketika Anda membuat KSK, Anda harus menyediakan atau meminta Route 53 untuk membuat kunci yang dikelola pelanggan untuk digunakan dengan KSK. Saat Anda memberikan atau membuat kunci yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat [Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

Ikuti langkah-langkah berikut untuk menambahkan KSK di Konsol Manajemen AWS.<a name="dns-configuring-dnssec-ksk-add-ksk-procedure"></a>

**Cara menambahkan KSK**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Zona yang di-hosting**, lalu pilih zona yang di-hosting.

1. **Pada tab **penandatanganan DNSSEC**, di bawah **Tombol penandatanganan kunci (KSKs)**, pilih **Beralih ke tampilan lanjutan**, lalu, di bawah **Tindakan**, pilih Tambahkan KSK.**

1. Di bawah **KSK**, masukkan nama untuk KSK yang akan dibuat Route 53 untuk Anda. Nama dapat mencakup angka, huruf, dan garis bawah (\$1). Nama ini harus unik.

1. Masukkan alias untuk kunci terkelola pelanggan yang berlaku untuk penandatanganan DNSSEC, atau masukkan alias untuk kunci terkelola pelanggan baru yang akan dibuat Route 53 untuk Anda.
**catatan**  
Jika Anda memilih agar Route 53 membuat kunci terkelola pelanggan, ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

1. Pilih **Buat KSK**.

## Mengedit kunci penandatanganan kunci (KSK)
<a name="dns-configuring-dnssec-ksk-edit-ksk"></a>

Anda dapat mengedit status KSK agar menjadi **Aktif** atau **Tidak aktif**. Ketika KSK aktif, Route 53 menggunakan KSK untuk penandatanganan DNSSEC. Sebelum dapat menghapus KSK, Anda harus mengedit KSK untuk mengatur statusnya ke **Tidak aktif**.

Ikuti langkah-langkah berikut untuk mengedit KSK di Konsol Manajemen AWS.<a name="dns-configuring-dnssec-ksk-edit-ksk-procedure"></a>

**Cara mengedit KSK**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Zona yang di-hosting**, lalu pilih zona yang di-hosting.

1. **Pada tab **penandatanganan DNSSEC**, di bawah **Tombol penandatanganan kunci (KSKs)**, pilih **Beralih ke tampilan lanjutan**, lalu, di bawah **Tindakan**, pilih Edit KSK.**

1. Lakukan pembaruan yang diinginkan ke KSK, lalu pilih **Simpan**.

## Menghapus kunci penandatanganan kunci (KSK)
<a name="dns-configuring-dnssec-ksk-delete-ksk"></a>

Sebelum dapat menghapus KSK, Anda harus mengedit KSK untuk mengatur statusnya ke **Tidak aktif**. 

Salah satu alasan Anda menghapus KSK adalah sebagai bagian dari rotasi kunci rutin. Memutar kunci kriptografi secara berkala merupakan praktik terbaik. Organisasi mungkin memiliki panduan standar terkait seberapa sering Anda harus merotasi kunci. 

Ikuti langkah-langkah berikut untuk menghapus KSK di Konsol Manajemen AWS.<a name="dns-configuring-dnssec-ksk-delete-ksk-procedure"></a>

**Cara menghapus KSK**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **Zona yang di-hosting**, lalu pilih zona yang di-hosting.

1. **Pada tab **penandatanganan DNSSEC**, di bawah **Tombol penandatanganan kunci (KSKs)**, pilih **Beralih ke tampilan lanjutan**, lalu di bawah **Tindakan**, pilih Hapus KSK.**

1. Ikuti panduan untuk mengonfirmasi penghapusan KSK.

# Kunci KMS dan manajemen ZSK di Rute 53
<a name="dns-configuring-dnssec-zsk-management"></a>

Bagian ini menjelaskan praktik saat ini yang digunakan Route 53 untuk zona aktif penandatanganan DNSSEC Anda.

**catatan**  
Route 53 menggunakan aturan berikut yang mungkin berubah. Setiap perubahan di masa depan tidak akan mengurangi postur keamanan zona atau Route 53 Anda.

**Bagaimana Route 53 menggunakan yang AWS KMS terkait dengan KSK Anda**  
Dalam DNSSEC, KSK digunakan untuk menghasilkan tanda tangan catatan sumber daya (RRSIG) untuk kumpulan catatan sumber daya DNSKEY. Semua `ACTIVE` KSKs digunakan dalam generasi RRSIG. Route 53 menghasilkan RRSIG dengan memanggil `Sign` AWS KMS API pada kunci KMS terkait. Untuk informasi selengkapnya, lihat [Masuk](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) *panduan AWS KMS API*. Ini RRSIGs tidak dihitung terhadap batas set catatan sumber daya zona.  
RRSIG memiliki kedaluwarsa. Untuk RRSIGs mencegah kedaluwarsa, disegarkan RRSIGs secara teratur dengan meregenerasinya setiap satu hingga tujuh hari.  
 RRSIGs Ini juga disegarkan setiap kali Anda memanggil salah satu dari ini APIs:  
+ [ActivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_ActivateKeySigningKey.html)
+ [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html)
+ [DeactivateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeactivateKeySigningKey.html)
+ [DeleteKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DeleteKeySigningKey.html)
+ [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html)
+ [EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html)
Setiap kali Route 53 melakukan penyegaran, kami menghasilkan 15 RRSIGs untuk mencakup beberapa hari ke depan jika kunci KMS terkait menjadi tidak dapat diakses. Untuk estimasi biaya utama KMS, Anda dapat mengasumsikan penyegaran reguler sekali sehari. Kunci KMS mungkin menjadi tidak dapat diakses oleh perubahan yang tidak disengaja pada kebijakan kunci KMS. Kunci KMS yang tidak dapat diakses akan menyetel status KSK terkait ke. `ACTION_NEEDED` Kami sangat menyarankan Anda memantau kondisi ini dengan mengatur CloudWatch alarm setiap kali `DNSSECKeySigningKeysNeedingAction` kesalahan terdeteksi karena memvalidasi resolver akan mulai gagal pencarian setelah RRSIG terakhir kedaluwarsa. Untuk informasi selengkapnya, lihat [Memantau zona yang dihosting menggunakan Amazon CloudWatch](monitoring-hosted-zones-with-cloudwatch.md).

**Bagaimana Route 53 mengelola ZSK zona Anda**  
Setiap zona host baru dengan penandatanganan DNSSEC diaktifkan akan memiliki satu kunci penandatanganan `ACTIVE` zona (ZSK). ZSK dibuat secara terpisah untuk setiap zona yang dihosting dan dimiliki oleh Route 53. Algoritma kunci saat ini adalah ECDSAP256SHA256.  
Kami akan mulai melakukan rotasi ZSK reguler di zona dalam waktu 7-30 hari sejak dimulainya penandatanganan. Saat ini, Route 53 menggunakan metode Pre-Publish Key Rollover. Untuk informasi selengkapnya, lihat [Rollover Kunci Penandatanganan Zona Pra-Publikasikan](https://datatracker.ietf.org/doc/html/rfc6781#section-4.1.1.1). Metode ini akan memperkenalkan ZSK lain ke zona tersebut. Rotasi akan diulang setiap 7-30 hari.  
Route 53 akan menangguhkan rotasi ZSK jika salah satu zona KSK berada dalam `ACTION_NEEDED` status karena Route 53 tidak akan dapat meregenerasi set catatan sumber daya DNSKEY untuk memperhitungkan perubahan di ZSK zona. RRSIGs Rotasi ZSK akan secara otomatis dilanjutkan setelah kondisi dibersihkan.

# Bukti DNSSEC tentang ketidakberadaan di Route 53
<a name="dns-configuring-dnssec-proof-of-nonexistence"></a>

**catatan**  
Route 53 menggunakan aturan berikut yang mungkin berubah. Setiap perubahan di masa depan tidak akan mengurangi postur keamanan zona atau Route 53 Anda.

Ada tiga jenis bukti ketidakberadaan di DNSSEC:
+ Bukti tidak adanya catatan yang cocok dengan nama kueri.
+ Bukti tidak adanya tipe yang cocok dengan tipe kueri.
+ Bukti keberadaan catatan wildcard yang digunakan untuk menghasilkan catatan sebagai tanggapan.

Route 53 mengimplementasikan bukti tidak adanya catatan yang cocok dengan nama kueri menggunakan metode BL. Untuk informasi lebih lanjut, lihat [BL](https://datatracker.ietf.org/doc/html/draft-valsorda-dnsop-black-lies-00). Ini adalah metode yang menghasilkan representasi kompak dari bukti dan mencegah zona berjalan.

Dalam kasus di mana ada catatan yang cocok dengan nama kueri tetapi bukan jenis kueri (seperti kueri untuk web.example. com/AAAA but there is only web.example.com/Apresent), kami mengembalikan catatan NSEC (next secure) minimal yang berisi semua jenis catatan sumber daya yang didukung.

Ketika Route 53 mensintesis jawaban dari catatan wildcard, respons tidak akan disertai dengan catatan aman berikutnya, atau catatan NSEC untuk wildcard. Catatan NSEC semacam itu digunakan dalam beberapa implementasi, biasanya yang melakukan penandatanganan offline, untuk mencegah tanda tangan catatan sumber daya (RRSIG) dalam respons digunakan kembali untuk menipu respons yang berbeda. Route 53 menggunakan penandatanganan online untuk catatan non-DNSkey untuk menghasilkan RRSIGs spesifik untuk respons yang tidak dapat digunakan kembali untuk respons yang berbeda.

# Memecahkan masalah penandatanganan DNSSEC
<a name="dns-configuring-dnssec-troubleshoot"></a>

Informasi di bagian ini dapat membantu Anda mengatasi masalah dengan penandatanganan DNSSEC, termasuk mengaktifkan, menonaktifkan, dan dengan kunci penandatanganan kunci (). KSKs

Mengaktifkan DNSSEC  
Pastikan Anda telah membaca prasyarat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md) sebelum Anda mulai mengaktifkan penandatanganan DNSSEC.

Menonaktifkan DNSSEC  
Untuk menonaktifkan DNSSEC dengan aman, Route 53 akan memeriksa apakah zona target berada dalam rantai kepercayaan. Ini memeriksa apakah induk dari zona target memiliki catatan NS dari zona target dan catatan DS dari zona target. Jika zona target tidak dapat diselesaikan secara publik, misalnya, mendapatkan respons SERVFAIL saat menanyakan NS dan DS, Route 53 tidak dapat menentukan apakah aman untuk menonaktifkan DNSSEC. Anda dapat menghubungi zona induk Anda untuk memperbaiki masalah tersebut, dan coba lagi menonaktifkan DNSSEC nanti.

Status KSK adalah **Diperlukan tindakan**  
KSK dapat mengubah statusnya menjadi **Tindakan yang diperlukan** (atau `ACTION_NEEDED` dalam [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html)status), ketika Route 53 DNSSEC kehilangan akses ke yang sesuai AWS KMS key (karena perubahan izin atau penghapusan). AWS KMS key   
Jika status KSK **diperlukan Tindakan**, itu berarti bahwa pada akhirnya itu akan menyebabkan pemadaman zona untuk klien yang menggunakan DNSSEC memvalidasi resolver dan Anda harus bertindak cepat untuk mencegah zona produksi menjadi tidak dapat diselesaikan.  
Untuk memperbaiki masalah, pastikan bahwa kunci terkelola pelanggan yang menjadi dasar KSK Anda diaktifkan dan memiliki izin yang benar. Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat [Route 53 izin kunci terkelola pelanggan yang diperlukan untuk penandatanganan DNSSEC](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC).  
Setelah Anda memperbaiki KSK, aktifkan lagi dengan menggunakan konsol atau AWS CLI, seperti yang dijelaskan dalam[Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK](dns-configuring-dnssec-enable-signing.md#dns-configuring-dnssec-enable).  
Untuk mencegah masalah ini di masa mendatang, pertimbangkan untuk menambahkan Amazon CloudWatch metrik untuk melacak keadaan KSK seperti yang disarankan di[Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).

Status KSK adalah **Kegagalan internal**  
Ketika KSK memiliki status **kegagalan internal** (atau `INTERNAL_FAILURE` dalam [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html)status), Anda tidak dapat bekerja dengan entitas DNSSEC lainnya sampai masalah teratasi. Anda harus mengambil tindakan sebelum dapat bekerja dengan penandatanganan DNSSEC, termasuk bekerja dengan KSK ini atau KSK lainnya.  
Untuk memperbaiki masalah, coba aktifkan lagi atau nonaktifkan KSK.  
 [Untuk memperbaiki masalah saat bekerja dengan APIs, coba aktifkan penandatanganan ([EnableHostedZoneDNSSEC) atau nonaktifkan penandatanganan (DNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html)). DisableHostedZone](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html)  
Anda harus segera memperbaiki masalah **Kegagalan internal**. Anda tidak dapat membuat perubahan lain ke zona yang di-hosting hingga masalah diperbaiki, kecuali operasi untuk memperbaiki **Kegagalan internal**.