terraform - 为什么我的 AWS ACM 证书没有经过验证？

Question

我在 AWS Route53 中注册了一个带有 ACM 证书的域名。我现在正在尝试将该域名和证书移动到一个新帐户，并使用 Terraform 管理资源。我使用 AWS CLI 将域名移动到新帐户，它似乎运行良好。然后我尝试运行这个 Terraform 代码来为域创建一个新的证书和托管区域。

resource "aws_acm_certificate" "default" {
  domain_name       = "mydomain.io"
  validation_method = "DNS"
}

resource "aws_route53_zone" "external" {
  name = "mydomain.io"
}

resource "aws_route53_record" "validation" {
  name    = aws_acm_certificate.default.domain_validation_options.0.resource_record_name
  type    = aws_acm_certificate.default.domain_validation_options.0.resource_record_type
  zone_id = aws_route53_zone.external.zone_id
  records = [aws_acm_certificate.default.domain_validation_options.0.resource_record_value]
  ttl     = "60"
}

resource "aws_acm_certificate_validation" "default" {
  certificate_arn = aws_acm_certificate.default.arn
  validation_record_fqdns = [
    aws_route53_record.validation.fqdn,
  ]
}

这有两件事很奇怪。首先，证书已创建，但验证从未完成。它仍处于等待验证状态。我在此失败后在某处读到您无法自动验证，您需要手动创建 CNAME 记录。所以我进入控制台并单击“将 cname 添加到路由 53”按钮。这将 CNAME 记录适本地添加到 Terraform 创建的新 Route53 记录中。但它已经等待了几个小时。我多次点击同一个按钮，只创建了一个 CNAME，后续点击无效。
另一个奇怪的，也许是一个线索，是我的网站仍在运行。我相信这应该会破坏网站，因为该域现在由一个新帐户拥有，路由到该新帐户上的不同托管区域，并且有一个现在仍在等待中的证书。但是，一切仍然正常。所以我认为旧证书和托管区域可能会影响这一点。他们是否需要释放域，我是否需要删除该证书？删除旧帐户上的证书听起来没有必要。我不应该再被放弃了。
我还没有将证书与我打算做的 Cloudfront 或 ALB 相关联。但是由于它没有经过验证，我用于创建 Cloudfront 实例的 Terrform 代码死了。

Answer 1

原来我转移的域名是随一组名称服务器一起转移的，但是，Route53 托管区域中的名称服务器全都不同。当这些通过控制台一起创建时，它会做正确的事情。我不确定如何使用 Terraform 做正确的事情，我现在将发布另一个问题。但就目前而言，解决方案是更改托管区域或注册域上的名称服务器以使其相互匹配。