Gestione dei token di accesso per l'autenticazione crittografata - Amazon Route 53
Creazione di token di accessoConfigurazione dei dispositivi client con token di accessoGestione del ciclo di vita dei token

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dei token di accesso per l'autenticazione crittografata

I token di accesso forniscono l'autenticazione crittografata per i protocolli DoH e DoT. A differenza delle fonti di accesso basate su IP, i token funzionano indipendentemente dalla posizione del cliente e offrono una maggiore sicurezza attraverso la crittografia e i controlli di scadenza.

Creazione di token di accesso

Segui questi passaggi per creare token di accesso per autenticare i dispositivi client che utilizzano i protocolli DoH o DoT.

  1. Apri la console Route 53 Global Resolver e accedi alla visualizzazione DNS.

  2. Nella sezione Origine di accesso, scegli Crea token di accesso.

  3. Per Nome, inserisci un nome descrittivo che identifichi lo scopo del token, ad esempio mobile-devices o. remote-workers-q4

  4. Per Scadenza, imposta quando il token deve scadere. Consigliamo 90 giorni o meno per motivi di sicurezza. Considerate le vostre capacità di distribuzione e rinnovo dei token quando impostate il periodo di scadenza.

  5. Scegli Crea token di accesso.

  6. Distribuisci il token in modo sicuro sui dispositivi client utilizzando i canali di comunicazione sicuri della tua organizzazione.

Configurazione dei dispositivi client con token di accesso

Configura i dispositivi client per utilizzare i token di accesso per l'autenticazione con la tua infrastruttura Route 53 Global Resolver.

Configurazione DoH

Per configurare DoH con token di accesso, è necessario il nome DNS o gli indirizzi IP del resolver globale:

  1. Utilizza l' GetGlobalResolver API per recuperare i dettagli di connettività del tuo resolver.

  2. Nota ipv4Addresses (ad esempio, 3.3.3.3, 3.3.3.4) e (ad esempio, a1bc234567890a.route53globalresolver.global.on.aws). dnsName

  3. Includi il token come parametro URL nell'endpoint DoH utilizzando il nome DNS:

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

<token-value>Sostituiscilo con il token effettivo che hai generato.

Configurazione DoT

Per le query DoT con token di accesso, includi il token in un'opzione EDNS0 con le seguenti specifiche:

  • Codice dell'opzione: 0xffa0

  • Option Data: il token di accesso in formato stringa

L'implementazione specifica dipende dal software client DoT e da come gestisce le opzioni EDNS0.

Gestione del ciclo di vita dei token

Gestisci la scadenza e il rinnovo dei token per mantenere l'accesso sicuro per i dispositivi client.

  • Monitora le date di scadenza: tieni traccia delle date di scadenza dei token e pianifica i rinnovi in anticipo.

  • Rinnova prima della scadenza: crea nuovi token prima della scadenza di quelli vecchi per evitare l'interruzione del servizio.

  • Ruota i token regolarmente: sostituisci i token periodicamente anche prima della scadenza per una maggiore sicurezza.

  • Revoca i token compromessi: elimina immediatamente i token se sospetti che siano stati compromessi.

Prendi in considerazione l'implementazione di processi automatici di rinnovo dei token per implementazioni di grandi dimensioni per ridurre il sovraccarico amministrativo.