暗号化された認証のアクセストークンの管理 - Amazon Route 53
アクセストークンの作成アクセストークンを使用したクライアントデバイスの設定トークンライフサイクル管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

暗号化された認証のアクセストークンの管理

アクセストークンは、DoH プロトコルと DoT プロトコルの暗号化された認証を提供します。IP ベースのアクセスソースとは異なり、トークンはクライアントの場所に関係なく機能し、暗号化と有効期限の制御を通じてセキュリティを強化します。

アクセストークンの作成

DoH または DoT プロトコルを使用するクライアントデバイスを認証するためのアクセストークンを作成するには、次の手順に従います。

  1. Route 53 Global Resolver コンソールを開き、DNS ビューに移動します。

  2. アクセスソースセクションで、アクセストークンの作成を選択します。

  3. Name にはmobile-devicesや など、トークンの目的を識別するわかりやすい名前を入力しますremote-workers-q4

  4. 有効期限 では、トークンの有効期限を設定します。セキュリティのために 90 日以内をお勧めします。有効期限を設定するときは、トークンの配布と更新の機能を検討してください。

  5. アクセストークンの作成を選択します。

  6. 組織の安全な通信チャネルを使用して、トークンをクライアントデバイスに安全に配布します。

アクセストークンを使用したクライアントデバイスの設定

Route 53 Global Resolver インフラストラクチャでの認証にアクセストークンを使用するようにクライアントデバイスを設定します。

DoH 設定

アクセストークンを使用して DoH を設定するには、グローバルリゾルバーの DNS 名または IP アドレスが必要です。

  1. GetGlobalResolver API を使用して、リゾルバーの接続の詳細を取得します。

  2. (3.3.3.3、3.3.3.4 ipv4Addresses など) と dnsName (a1bc234567890a.route53globalresolver.global.on.aws など) に注意してください。

  3. DNS 名を使用して DoH エンドポイントに URL パラメータとしてトークンを含めます。

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

を、生成した実際のトークン<token-value>に置き換えます。

DoT 設定

アクセストークンを含む DoT クエリの場合、次の仕様の EDNS0 オプションにトークンを含めます。

  • オプションコード: 0xffa0

  • オプションデータ: 文字列形式のアクセストークン

具体的な実装は、DoT クライアントソフトウェアと EDNS0 オプションの処理方法によって異なります。

トークンライフサイクル管理

トークンの有効期限と更新を管理し、クライアントデバイスの安全なアクセスを維持します。

  • 有効期限のモニタリング - トークンの有効期限を追跡し、事前に更新を計画します。

  • 有効期限前に更新 - サービスの中断を避けるため、古いトークンの有効期限が切れる前に新しいトークンを作成します。

  • トークンを定期的にローテーションする - セキュリティを強化するために、有効期限が切れる前にトークンを定期的に置き換えます。

  • 侵害されたトークンを取り消す - 侵害されたと思われる場合は、トークンをすぐに削除します。

管理オーバーヘッドを減らすために、大規模なデプロイの自動トークン更新プロセスを実装することを検討してください。