翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # DNSSEC 署名のトラブルシューティング このセクションの情報は、DNSSEC 署名の有効化、無効化、およびキー署名キー (KSK) の使用に関する問題を解決するのに役立ちます。 DNSSEC の有効化 DNSSEC 署名を有効化する前に、「[Amazon Route 53 での DNSSEC 署名の設定](dns-configuring-dnssec.md)」で前提条件を確認してください。 DNSSEC の無効化 DNSSEC を安全に無効化するために、Route 53 は、ターゲットゾーンが信頼チェーン内にあるかどうかを確認します。ターゲットゾーンの親に、そのターゲットゾーンの NS レコードと DS レコードがあることも確認します。NS と DS のクエリ時に SERVFAIL 応答が返されるなど、ターゲットゾーンがパブリックに解決できない場合には、Route 53 は DNSSEC を安全に無効化できるかどうかを判断できません。親ゾーンに接続し、これらの問題を修正した上で、DNSSEC の無効化を再試行します。 KSK のステータスが **[Action needed]** (アクションが必要) になっています Route 53 DNSSEC が対応する へのアクセスを失った場合 (アクセス許可の変更または削除により)、KSK はステータスを**必要なアクション** AWS KMS key (または `ACTION_NEEDED` [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html) ステータス) に変更できます AWS KMS key 。 KSK のステータスが [**Action needed**] (実行が必要) の場合、最終的に DNSSEC 検証リゾルバーを使用する顧客でゾーン停止が発生し、本番ゾーンが解決不能になることを防ぐため、迅速に対処しなければなりません。 問題を解決する場合、KSK の基になっているカスタマーマネージドキーが有効であり、適切なアクセス許可が付与されていることをご確認ください。必要な許可の詳細については、「[DNSSEC 署名に必要な Route 53 カスタマー管理キーアクセス許可](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC)」を参照してください。 KSK を修正したら、「」で説明されているように AWS CLI、コンソールまたは を使用して再度アクティブ化します[ステップ 2: DNSSEC 署名を有効にして KSK を作成](dns-configuring-dnssec-enable-signing.md#dns-configuring-dnssec-enable)。 今後この問題を回避するには、「」で提案されているように KSK の状態を追跡する Amazon CloudWatch メトリクスを追加することを検討してください[Amazon Route 53 での DNSSEC 署名の設定](dns-configuring-dnssec.md)。 KSK のステータスが **[Internal failure]** (内部エラー) になっています KSK のステータスが [**Internal failure**] (内部障害) の場合 (または [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html) ステータスで `INTERNAL_FAILURE`)、この問題が解決されるまで他の DNSSEC エンティティを操作することはできません。この KSK または他の KSK での作業を含め、DNSSEC 署名での操作を行う前に対策を取る必要があります。 この問題を解決するには、KSK のアクティブ化または非アクティブ化を再試行します。 API を使う際にこの問題を解決する場合、署名 ([EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html)) の有効化、または署名の無効化 ([DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html)) を試みます。 **[Internal failure]** (内部エラー) の問題には、迅速に対処することが重要です。この問題が解決されるまで、**[Internal failure]** (内部エラー) を修正するためのオペレーションを除き、ホストゾーンに対して他の変更を加えることはできません。