Mengelola token akses untuk otentikasi terenkripsi - Amazon Route 53
Membuat token aksesMengkonfigurasi perangkat klien dengan token aksesManajemen siklus hidup token

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola token akses untuk otentikasi terenkripsi

Token akses menyediakan otentikasi terenkripsi untuk protokol DoH dan DoT. Tidak seperti sumber akses berbasis IP, token bekerja terlepas dari lokasi klien dan menawarkan keamanan yang ditingkatkan melalui enkripsi dan kontrol kedaluwarsa.

Membuat token akses

Ikuti langkah-langkah ini untuk membuat token akses untuk mengautentikasi perangkat klien yang menggunakan protokol DoH atau DoT.

  1. Buka konsol Route 53 Global Resolver dan navigasikan ke tampilan DNS Anda.

  2. Di bagian Sumber akses, pilih Buat token akses.

  3. Untuk Nama, masukkan nama deskriptif yang mengidentifikasi tujuan token, seperti mobile-devices atau. remote-workers-q4

  4. Untuk Kedaluwarsa, atur kapan token harus kedaluwarsa. Kami merekomendasikan 90 hari atau kurang untuk keamanan. Pertimbangkan distribusi token dan kemampuan perpanjangan Anda saat mengatur periode kedaluwarsa.

  5. Pilih Buat token akses.

  6. Distribusikan token dengan aman ke perangkat klien Anda menggunakan saluran komunikasi aman organisasi Anda.

Mengkonfigurasi perangkat klien dengan token akses

Konfigurasikan perangkat klien untuk menggunakan token akses untuk otentikasi dengan infrastruktur Route 53 Global Resolver Anda.

konfigurasi DoH

Untuk mengonfigurasi DoH dengan token akses, Anda memerlukan nama DNS atau alamat IP resolver global Anda:

  1. Gunakan GetGlobalResolver API untuk mengambil detail konektivitas untuk resolver Anda.

  2. Perhatikan ipv4Addresses (misalnya, 3.3.3.3, 3.3.3.4) dan (misalnya, dnsName a1bc234567890a.route53globalresolver.global.on.aws).

  3. Sertakan token sebagai parameter URL di titik akhir DoH menggunakan nama DNS:

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

Ganti <token-value> dengan token aktual yang Anda hasilkan.

Konfigurasi DoT

Untuk kueri DoT dengan token akses, sertakan token dalam opsi EDNS0 dengan spesifikasi berikut:

  • Kode Opsi: 0xffa0

  • Data Opsi: Token akses dalam format string

Implementasi spesifik tergantung pada perangkat lunak klien DoT Anda dan bagaimana menangani opsi EDNS0.

Manajemen siklus hidup token

Kelola kedaluwarsa dan pembaruan token untuk menjaga akses aman untuk perangkat klien Anda.

  • Pantau tanggal kedaluwarsa - Lacak tanggal kedaluwarsa token dan rencanakan perpanjangan terlebih dahulu.

  • Perpanjang sebelum kedaluwarsa - Buat token baru sebelum yang lama kedaluwarsa untuk menghindari gangguan layanan.

  • Putar token secara teratur - Ganti token secara berkala bahkan sebelum kedaluwarsa untuk keamanan yang ditingkatkan.

  • Cabut token yang dikompromikan - Hapus token segera jika Anda mencurigai token tersebut telah disusupi.

Pertimbangkan untuk menerapkan proses pembaruan token otomatis untuk penerapan besar guna mengurangi overhead administratif.