반응형
DNSSEC은 다음과 같은 위계 구조로 서명된 위임(Delegation Signer, DS) 레코드를 통해 상위 도메인으로부터 신뢰를 이어받습니다.
. (루트)
└── com (루트의 DS 레코드 포함)
└── example.com (com의 DS 포함)
└── secure.example.com (example.com의 DS 포함) ← 하위 도메인즉,
- 하위 도메인(secure.example.com)에서 DNSSEC을 활성화하면
- 부모 도메인(example.com) 에 DS(Delegation Signer) 레코드를 등록해야
- 상위에서 하위로 신뢰 체인이 연결됩니다.
⚙️ Route 53에서의 절차
- 하위 도메인에 DNSSEC 활성화 → KSK 생성됨
- Route 53이 DS 레코드 데이터(해시 값, 알고리즘 등) 제공
- 부모 도메인의 호스팅 영역에 해당 DS 레코드 생성
→ 이렇게 해야 신뢰 체인이 완성되고 오류가 사라집니다.
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| ECR 기본 스캐닝 vs Amazon Inspector 통합 스캐닝 비교 (0) | 2025.10.14 |
|---|---|
| AWS IAM 핵심 용어 비교표 (0) | 2025.10.11 |
| IAM 정책 4종류 개념 비교 (0) | 2025.10.06 |
| Guard Duty 는 vpc flow logs 수집 없어도 탐지 하는가? (0) | 2025.05.07 |
| AWS VPC 미러링 관련 (0) | 2025.04.18 |