在 AWS 上，在創建 DS 記錄期間，我收到一條錯誤消息，DNS 名稱為 ex.com 的 DS 記錄不允許在區域 ex.com 中使用。為什麼會這樣？

環境： AWS、DNSSEC

當我嘗試創建 DS 記錄以建立信任鏈時，我收到一個我不理解的錯誤。

我的完整錯誤。

Error occurred
Bad request.
(InvalidChangeBatch 400: RRSet of type DS with DNS name example.com. is not permitted in zone example.com.)

奇怪的是，當我嘗試將密鑰添加到像*www.example.com*這樣的子域時，它可以工作。但這不是我需要的。我需要它為整個域工作。

的DS記錄example.com將com作為代表團的一部分進入區域，而不是example.com區域本身。這就是信任鏈的形成方式，您DS從已經驗證/信任的父區域獲得簽名。

（在這樣的範例中，它將通過您的註冊商進行管理。）

sub.example.com同樣，如果您要在其他地方委託，例如，您將DS在區域中擁有（如果適用）example.com作為委託的一部分sub.example.com。（這就是您可以添加DS其他名稱的原因。）

引用自：https://serverfault.com/questions/1055995