Administrar los tokens de acceso para la autenticación cifrada - Amazon Route 53
Creación de tokens de accesoConfiguración de los dispositivos cliente con tokens de accesoGestión del ciclo de vida del token

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar los tokens de acceso para la autenticación cifrada

Los tokens de acceso proporcionan una autenticación cifrada para los protocolos DoH y DoT. A diferencia de las fuentes de acceso basadas en IP, los tokens funcionan independientemente de la ubicación del cliente y ofrecen una mayor seguridad mediante los controles de cifrado y caducidad.

Creación de tokens de acceso

Siga estos pasos para crear tokens de acceso para autenticar los dispositivos cliente que utilizan los protocolos DoH o DoT.

  1. Abra la consola de Route 53 Global Resolver y navegue hasta la vista de DNS.

  2. En la sección Fuente de acceso, selecciona Crear token de acceso.

  3. En Nombre, introduce un nombre descriptivo que identifique el propósito del token, como mobile-devices oremote-workers-q4.

  4. En Expiración, defina cuándo debe caducar el token. Recomendamos 90 días o menos por motivos de seguridad. Ten en cuenta tus capacidades de distribución y renovación de los tokens a la hora de establecer el período de caducidad.

  5. Selecciona Crear token de acceso.

  6. Distribuya el token de forma segura a los dispositivos de sus clientes mediante los canales de comunicación seguros de su organización.

Configuración de los dispositivos cliente con tokens de acceso

Configure los dispositivos cliente para que usen tokens de acceso para la autenticación con su infraestructura de Route 53 Global Resolver.

Configuración de DoH

Para configurar DoH con tokens de acceso, necesita el nombre DNS o las direcciones IP del solucionador global:

  1. Utilice la GetGlobalResolver API para recuperar los detalles de conectividad de su resolución.

  2. Anote las ipv4Addresses (por ejemplo, 3.3.3.3, 3.3.3.4) y (por ejemplo, dnsName a1bc234567890a.route53globalresolver.global.on.aws).

  3. Incluya el token como parámetro de URL en el punto final del DoH con el nombre DNS:

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

<token-value>Sustitúyalo por el token real que generaste.

Configuración DoT

Para las consultas DoT con tokens de acceso, incluya el token en una opción EDNS0 con las siguientes especificaciones:

  • Código de opción: 0xffa0

  • Datos de opción: el token de acceso en formato de cadena

La implementación específica depende del software de su cliente DoT y de cómo gestione las opciones de EDNS0.

Gestión del ciclo de vida del token

Gestione la caducidad y la renovación de los tokens para mantener un acceso seguro a los dispositivos de sus clientes.

  • Supervise las fechas de caducidad: haga un seguimiento de las fechas de caducidad de los tokens y planifique las renovaciones con antelación.

  • Renueve antes de que caduquen: cree nuevos tokens antes de que caduquen los antiguos para evitar la interrupción del servicio.

  • Rota las fichas con regularidad: sustituye las fichas periódicamente incluso antes de que caduquen para mejorar la seguridad.

  • Revoca las fichas comprometidas: elimina las fichas inmediatamente si sospechas que están comprometidas.

Considere la posibilidad de implementar procesos automatizados de renovación de tokens para despliegues grandes a fin de reducir la sobrecarga administrativa.