Vincular alteração de DDNS recebendo `falha na atualização: NOTAUTH`, como corrigir esse problema de autorização?

Eu tenho a seguinte definição de zona:

zone "madetoorder.software" {
  type master;
  file "/var/lib/bind/example.com.zone";
  allow-transfer { trusted-servers; };
  check-names warn;
  update-policy {
    grant local-ddns zonesub any;
    grant letsencrypt_wildcard. name _acme-challenge.example.com. txt;
  };
  max-journal-size 2M;
};

Conforme mostrado, espera-se que eu possa adicionar e remover subdomínios (também conhecidos como foo.example.com) usando nsupdate. Tentei o seguinte, mas estou recebendo um NOTAUTHerro:

$ sudo nsupdate
> local 165.232.146.181
> zone madetoorder.software
> update delete ve-vlc.madetoorder.software.
> send
NOTAUTH
> update add ve-vlc.madetoorder.software. 60 A 165.232.146.181
> send
NOTAUTH
> quit

Como podemos ver, o sendcomando falha com um arquivo NOTAUTH.

Eu sei que a local-ddnschave foi carregada com sucesso, pois quando tento, sudorecebo o seguinte erro:

$ nsupdate -l
19-Apr-2022 21:50:16.831 open: //run/named/session.key: permission denied
can't read key from //run/named/session.key: permission denied

Olhando para o arquivo, parece uma chave válida. Exatamente como esperado.

Além disso, as letsencryptalterações em um campo TXT funcionam conforme o esperado. Então, o que há de errado em:

grant local-ddns zonesub any

Observação:

Conforme mostrado na definição da zona, o arquivo .zone está em /var/lib/bind. E o diretório pertence a root:bindcom permissões -rwxrwxr-x. O próprio arquivo tem permissões -rw-------. Então named(que roda como bind) tem acesso aos arquivos.