Route53 DNSSEC 설정하기 (DNS 보안)
안녕하세요 🤗🤗🤗🤗🎉🎉
이번포스팅은 route53에서 DNSSEC을 설정하는 방법을 알아볼까 합니다.
AWS 공식 안내서가 있지만, 이것만 보고는 뚝딱뚝딱 설정하기가 어려워요!!!
DNSSEC이란 뭘까요?
한마디로 말하자면, DNS 스푸핑이나 캐시 포이즈닝 등 여러가지 DNS공격을 막기위한 장치라고 보시면 됩니다.
DNS 응답이 정상적인 서버에서 응답 되었으며, 전송 과정에서 변조되지 않았음을 확인하기 위해 DNSSEC을 사용합니다.
(DNS 응답의 진정성 & 데이터 무결성을 보장)
참고 URL : https://docs.aws.amazon.com/ko_kr/Route53/latest/DeveloperGuide/domain-configure-dnssec.html
이제 DNSSEC에 대해 알아봤으니까, 설정해봅시다!
저는 Route53에서 도메인 구매, 레코드 호스팅 모두 하고 있습니다!
설정하러 고고고!!! 👍🏻👍🏻👍🏻
1. DNSSEC용 고객관리키 생성
버지니아 북부 리전(us-east-1)에서 KMS 서비스 콘솔에 접속 후 새로운 키를 생성합니다.
아래 캡쳐 사진처럼 비대칭키 > 서명 및 확인 > ECC_NIST_P256를 선택합니다.
다음 단계부터는 모두 디폴트로 두고 키를 생성합니다.
2. DNSSEC 서명에 필요한 Route53 권한 추가
생성된 키를 클릭하고, 키 정책을 수정해야 합니다. 키 정책 "편집"을 클릭합니다.
정책을 추가합니다.
[정책]
{
"Sid": "Allow Route 53 DNSSEC Service",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GetPublicKey",
"kms:Sign"
],
"Resource": "*"
},
{
"Sid": "Allow Route 53 DNSSEC to CreateGrant",
"Effect": "Allow",
"Principal": {
"Service": "dnssec-route53.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
3. DNSSEC 서명 활성화
이제, 위에서 생성한 키로 DNSSEC서명 활성화 합니다.
이름은 상관없으니, 우리가 인식할 수 있는 이름으로 생성합니다.
시간이 조금 오래 걸리니까 천천히! 기다려봅시다.
4. DS 레코드 생성
이제 DNSSEC 서명이 완료 되었습니다!! DS레코드를 생성하기 위한 정보를 확인합니다.
DS 레코드 생성을 위한 정보보기를 열어보면, 여러가지 정보가 보일건데!!
이 정보로 DS레코드를 등록합니다.
등록기관이 Route53인 경우 아래 캡쳐 사진과 같이 등록된 도메인에서 DNSSEC 키 관리를 클릭하고, 위에서 확인한 퍼블릭 키를 추가합니다.
등록기관이 Route53이 아닌경우 각 등록기관에 DS 레코드 생성 방법을 확인하시어 등록하세요.
여기까지 완료 되었다면 ,모든 단계가 끝났습니다!!
도메인 작업은 정말 조심하지 않으면 도메인 자체를 사용하지 못하게 될 수 있으므로 매우매우 조심히 신중하게 해주셔야 합니다!!!
고생하셨습니다!! 뿅!!!🤗
1. DNSSEC용 고객관리키 생성 참고 URL: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec-cmk-requirements.html
2. DNSSEC 서명에 필요한 Route53 권한 추가 참고 URL: https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/access-control-managing-permissions.html#KMS-key-policy-for-DNSSEC