Gestion des jetons d'accès pour l'authentification cryptée - Amazon Route 53
Création de jetons d'accèsConfiguration des appareils clients avec des jetons d'accèsGestion du cycle de vie des jetons

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des jetons d'accès pour l'authentification cryptée

Les jetons d'accès fournissent une authentification cryptée pour les protocoles DoH et DoT. Contrairement aux sources d'accès basées sur IP, les jetons fonctionnent quel que soit l'emplacement du client et offrent une sécurité renforcée grâce au chiffrement et aux contrôles d'expiration.

Création de jetons d'accès

Suivez ces étapes pour créer des jetons d'accès afin d'authentifier les appareils clients qui utilisent les protocoles DoH ou DoT.

  1. Ouvrez la console Route 53 Global Resolver et accédez à votre vue DNS.

  2. Dans la section Source d'accès, choisissez Créer un jeton d'accès.

  3. Dans Nom, entrez un nom descriptif identifiant l'objectif du jeton, tel que mobile-devices ouremote-workers-q4.

  4. Pour Expiration, définissez la date d'expiration du jeton. Nous recommandons 90 jours ou moins pour des raisons de sécurité. Tenez compte de vos capacités de distribution et de renouvellement de jetons lorsque vous définissez la période d'expiration.

  5. Choisissez Créer un jeton d'accès.

  6. Distribuez le jeton en toute sécurité sur les appareils de vos clients en utilisant les canaux de communication sécurisés de votre entreprise.

Configuration des appareils clients avec des jetons d'accès

Configurez les appareils clients pour qu'ils utilisent des jetons d'accès pour l'authentification auprès de votre infrastructure Route 53 Global Resolver.

Configuration du DoH

Pour configurer DoH avec des jetons d'accès, vous avez besoin du nom DNS ou des adresses IP de votre résolveur global :

  1. Utilisez l' GetGlobalResolver API pour récupérer les informations de connectivité de votre résolveur.

  2. Notez ipv4Addresses (par exemple, 3.3.3.3, 3.3.3.4) et (par exemple, dnsName a1bc234567890a.route53globalresolver.global.on.aws).

  3. Incluez le jeton en tant que paramètre d'URL dans le point de terminaison DoH en utilisant le nom DNS :

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

<token-value>Remplacez-le par le jeton que vous avez généré.

Configuration du DoT

Pour les requêtes DoT avec des jetons d'accès, incluez le jeton dans une option EDNS0 avec les spécifications suivantes :

  • Code d'option : 0xffa0

  • Données d'option : le jeton d'accès au format chaîne

L'implémentation spécifique dépend de votre logiciel client DoT et de la manière dont il gère les options EDNS0.

Gestion du cycle de vie des jetons

Gérez l'expiration et le renouvellement des jetons afin de garantir un accès sécurisé à vos appareils clients.

  • Surveillez les dates d'expiration : suivez les dates d'expiration des jetons et planifiez les renouvellements à l'avance.

  • Renouveler avant expiration : créez de nouveaux jetons avant que les anciens n'expirent pour éviter toute interruption de service.

  • Effectuez une rotation régulière des jetons - Remplacez les jetons régulièrement avant même leur expiration pour une sécurité renforcée.

  • Révoquer les jetons compromis : supprimez immédiatement les jetons si vous pensez qu'ils ont été compromis.

Envisagez de mettre en œuvre des processus automatisés de renouvellement des jetons pour les déploiements de grande envergure afin de réduire les frais administratifs.