Verwaltung von Zugriffstoken für die verschlüsselte Authentifizierung - Amazon Route 53
Zugriffstoken erstellenKonfiguration von Client-Geräten mit ZugriffstokenVerwaltung des Token-Lebenszyklus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Zugriffstoken für die verschlüsselte Authentifizierung

Zugriffstoken ermöglichen eine verschlüsselte Authentifizierung für DoH- und DoT-Protokolle. Im Gegensatz zu IP-basierten Zugriffsquellen funktionieren Token unabhängig vom Standort des Kunden und bieten durch Verschlüsselungs- und Ablaufkontrollen mehr Sicherheit.

Zugriffstoken erstellen

Gehen Sie wie folgt vor, um Zugriffstoken zur Authentifizierung von Client-Geräten zu erstellen, die DoH- oder DoT-Protokolle verwenden.

  1. Öffnen Sie die Route 53 Global Resolver-Konsole und navigieren Sie zu Ihrer DNS-Ansicht.

  2. Wählen Sie im Abschnitt Zugriffsquelle die Option Zugriffstoken erstellen aus.

  3. Geben Sie unter Name einen aussagekräftigen Namen ein, der den Zweck des Tokens identifiziert, z. B. mobile-devices oderremote-workers-q4.

  4. Geben Sie unter Ablauf an, wann das Token ablaufen soll. Aus Sicherheitsgründen empfehlen wir 90 Tage oder weniger. Berücksichtigen Sie bei der Festlegung des Ablaufzeitraums Ihre Möglichkeiten zur Verteilung und Verlängerung von Tokens.

  5. Wählen Sie Zugriffstoken erstellen aus.

  6. Verteilen Sie das Token sicher über die sicheren Kommunikationskanäle Ihres Unternehmens an Ihre Client-Geräte.

Konfiguration von Client-Geräten mit Zugriffstoken

Konfigurieren Sie Client-Geräte so, dass sie Zugriffstoken für die Authentifizierung mit Ihrer Route 53 Global Resolver-Infrastruktur verwenden.

DoH-Konfiguration

Um DoH mit Zugriffstoken zu konfigurieren, benötigen Sie den DNS-Namen oder die IP-Adressen Ihres globalen Resolvers:

  1. Verwenden Sie die GetGlobalResolver API, um Verbindungsdetails für Ihren Resolver abzurufen.

  2. Beachten Sie die ipv4Addresses (z. B. 3.3.3.3, 3.3.3.4) und (zum Beispiel dnsName a1bc234567890a.route53globalresolver.global.on.aws).

  3. Fügen Sie das Token unter Verwendung des DNS-Namens als URL-Parameter in den DoH-Endpunkt ein:

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

<token-value>Ersetzen Sie es durch das tatsächliche Token, das Sie generiert haben.

DoT-Konfiguration

Fügen Sie bei DoT-Abfragen mit Zugriffstoken das Token in eine EDNS0-Option mit den folgenden Spezifikationen ein:

  • Optionscode: 0xffa0

  • Optionsdaten: Das Zugriffstoken im Zeichenkettenformat

Die spezifische Implementierung hängt von Ihrer DoT-Client-Software und davon ab, wie sie mit EDNS0-Optionen umgeht.

Verwaltung des Token-Lebenszyklus

Verwalten Sie den Ablauf und die Verlängerung von Tokens, um einen sicheren Zugriff für Ihre Client-Geräte zu gewährleisten.

  • Ablaufdaten überwachen — Verfolgen Sie die Ablaufdaten von Tokens und planen Sie Verlängerungen im Voraus.

  • Vor Ablauf verlängern — Erstellen Sie neue Token, bevor alte ablaufen, um Serviceunterbrechungen zu vermeiden.

  • Wechseln Sie die Tokens regelmäßig — Tauschen Sie Token aus Sicherheitsgründen regelmäßig aus, noch bevor sie ablaufen.

  • Widerrufen kompromittierter Token — Löschen Sie Token sofort, wenn Sie vermuten, dass sie kompromittiert wurden.

Erwägen Sie die Implementierung automatisierter Prozesse zur Token-Erneuerung für große Bereitstellungen, um den Verwaltungsaufwand zu reduzieren.