如何在 AWS Route 53 中设置 clientDeleteProhibited、clientRenewProhibited 和 clientUpdateProhibited EPP 状态代码?

How to set clientDeleteProhibited, clientRenewProhibited, and clientUpdateProhibited EPP status codes in AWS Route 53?

外部漏洞扫描器将我通过 AWS Route 53 管理的域标记为没有 clientDeleteProhibitedclientRenewProhibitedclientUpdateProhibited EPP status codes set.

我通过 whois 确认了这一点:

合规域的良好 whois 条目

# whois.registrar.amazon.com
# ...
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited

不合规域的错误条目

# whois.registrar.amazon.com
# ...
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

如何配置 AWS Route 53 以启用这些状态代码?

你不能。它甚至没有在 AWS CLI/API (https://docs.aws.amazon.com/Route53/latest/APIReference/API_Operations_Amazon_Route_53.html) 中定义。

但是,您受到了一定程度的保护,因为删除 Route 53 中的域需要确认,如 AWS 所述:

Important: When we receive a request to delete a domain, ICANN requires us to get confirmation from the current registrant contact. We will send an email from noreply@domainnameverification.net or noreply@registrar.amazon.com to the registrant contact

我不太重视该工具的扫描结果,因为真正保护您的域免受意外删除、更新或更新的是保护您的 AWS 帐户,例如,设置 2FA(双因素身份验证)对于您的根用户。如果您对 AWS 的访问不是针对您的个人账户(例如您自己的网站或实验),那么强烈建议您避免使用根用户登录执行常见任务,而是根据策略创建 IAM 角色,以便每个(组) 用户有特定任务。

请注意,在 Route 53 中仅启用了 clientTransferProhibited(传输锁),因为它指的是可以从外部(恶意)发起的操作,而不仅仅是在 Route 53 中。