As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como solucionar problemas de assinatura de DNSSEC As informações nesta seção podem ajudá-lo a resolver problemas com a assinatura do DNSSEC, incluindo ativação, desativação e com suas chaves de assinatura de chaves (). KSKs Como habilitar DNSSEC Certifique-se de ler os prerrequisitos em [Como configurar a assinatura de DNSSEC no Amazon Route 53](dns-configuring-dnssec.md) antes de começar a habilitar assinatura DNSSEC. Como desabilitar DNSSEC Para desabilitar o DNSSEC com segurança, o Route 53 verificará se a zona de destino está na cadeia de confiança. Ele verifica se o pai da zona de destino tem algum registro NS da zona de destino e registros DS da zona de destino. Se a zona de destino não puder ser resolvida publicamente, por exemplo, obtendo uma resposta SERVFAIL ao consultar NS e DS, o Route 53 não poderá determinar se é seguro desabilitar o DNSSEC. Você pode entrar em contato com sua zona pai para corrigir esses problemas e tentar desabilitar o DNSSEC novamente mais tarde. O status da KSK é **Action needed** (Ação necessária) Uma KSK pode mudar seu status para **Ação necessária** (ou `ACTION_NEEDED` em um [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html)status) quando o Route 53 DNSSEC perde acesso a uma correspondente AWS KMS key (devido a uma alteração nas permissões ou AWS KMS key exclusão). Se o status de uma KSK for **Action needed** (Ação necessária), significa que, eventualmente, ele causará uma interrupção de zona para clientes que usam resolvedores de validação de DNSSEC, e você deverá agir rapidamente para evitar que uma zona de produção se torne incapaz de ser resolvida. Para corrigir o problema, certifique-se de que a chave gerenciada pelo cliente na qual a KSK se baseia está habilitada e tem as permissões corretas. Para mais informações sobre as permissões necessárias, consulte [Permissões de chave gerenciada pelo cliente do Route 53 necessárias para assinatura DNSSEC](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC). Depois de corrigir o KSK, ative-o novamente usando o console ou o AWS CLI, conforme descrito em[Etapa 2: Habilitar a assinatura de DNSSEC e criar uma KSK](dns-configuring-dnssec-enable-signing.md#dns-configuring-dnssec-enable). Para evitar esse problema no futuro, considere adicionar uma Amazon CloudWatch métrica para rastrear o estado do KSK, conforme sugerido em[Como configurar a assinatura de DNSSEC no Amazon Route 53](dns-configuring-dnssec.md). O status da KSK é **Internal failure** (Falha interna) Quando uma KSK tem um status de **falha interna** (ou `INTERNAL_FAILURE` em um [KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html)status), você não pode trabalhar com nenhuma outra entidade do DNSSEC até que o problema seja resolvido. Você deve tomar medidas antes de poder trabalhar com a assinatura de DNSSEC, inclusive trabalhar com esta KSK ou com outra KSK. Para corrigir o problema, tente novamente habilitar ou desabilitar a KSK. [Para corrigir o problema ao trabalhar com o APIs, tente ativar a assinatura ([EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html)) ou desativar a assinatura (DisableHostedZoneDNSSEC).](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) É importante que você corrija os problemas de **Internal failure** (Falha interna) prontamente. Você não pode fazer outras alterações na zona hospedada até que você corrija o problema, exceto as operações para corrigir a **Internal failure** (Falha interna).