암호화된 인증을 위한 액세스 토큰 관리 - Amazon Route 53
액세스 토큰 생성액세스 토큰을 사용하여 클라이언트 디바이스 구성토큰 수명 주기 관리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

암호화된 인증을 위한 액세스 토큰 관리

액세스 토큰은 DoH 및 DoT 프로토콜에 대한 암호화된 인증을 제공합니다. IP 기반 액세스 소스와 달리 토큰은 클라이언트 위치에 관계없이 작동하며 암호화 및 만료 제어를 통해 향상된 보안을 제공합니다.

액세스 토큰 생성

다음 단계에 따라 액세스 토큰을 생성하여 DoH 또는 DoT 프로토콜을 사용하는 클라이언트 디바이스를 인증합니다.

  1. Route 53 Global Resolver 콘솔을 열고 DNS 보기로 이동합니다.

  2. 액세스 소스 섹션에서 액세스 토큰 생성을 선택합니다.

  3. 이름mobile-devices 또는와 같이 토큰의 목적을 식별하는 설명이 포함된 이름을 입력합니다remote-workers-q4.

  4. 만료의 경우 토큰이 만료되어야 하는 시기를 설정합니다. 보안을 위해 90일 이하를 사용하는 것이 좋습니다. 만료 기간을 설정할 때 토큰 배포 및 갱신 기능을 고려합니다.

  5. 액세스 토큰 생성을 선택합니다.

  6. 조직의 보안 통신 채널을 사용하여 클라이언트 디바이스에 토큰을 안전하게 배포합니다.

액세스 토큰을 사용하여 클라이언트 디바이스 구성

Route 53 Global Resolver 인프라에서 인증에 액세스 토큰을 사용하도록 클라이언트 디바이스를 구성합니다.

DoH 구성

액세스 토큰으로 DoH를 구성하려면 글로벌 해석기의 DNS 이름 또는 IP 주소가 필요합니다.

  1. GetGlobalResolver API를 사용하여 해석기의 연결 세부 정보를 검색합니다.

  2. ipv4Addresses (예: 3.3.3.3, 3.3.3.4) 및 dnsName (예: a1bc234567890a.route53globalresolver.global.on.aws)를 기록해 둡니다.

  3. DNS 이름을 사용하여 토큰을 DoH 엔드포인트에 URL 파라미터로 포함합니다.

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

를 생성한 실제 토큰<token-value>으로 바꿉니다.

DoT 구성

액세스 토큰이 있는 DoT 쿼리의 경우 다음 사양과 함께 EDNS0 옵션에 토큰을 포함합니다.

  • 옵션 코드: 0xffa0

  • 옵션 데이터: 문자열 형식의 액세스 토큰

특정 구현은 DoT 클라이언트 소프트웨어와 EDNS0 옵션을 처리하는 방법에 따라 달라집니다.

토큰 수명 주기 관리

토큰 만료 및 갱신을 관리하여 클라이언트 디바이스에 대한 보안 액세스를 유지합니다.

  • 만료 날짜 모니터링 - 토큰 만료 날짜 및 플랜 갱신을 미리 추적합니다.

  • 만료 전 갱신 - 서비스 중단을 방지하기 위해 이전 토큰이 만료되기 전에 새 토큰을 생성합니다.

  • 토큰을 정기적으로 교체 - 보안 강화를 위해 만료 전에도 토큰을 주기적으로 교체합니다.

  • 손상된 토큰 취소 - 손상된 것으로 의심되는 경우 토큰을 즉시 삭제합니다.

관리 오버헤드를 줄이기 위해 대규모 배포를 위한 자동 토큰 갱신 프로세스를 구현하는 것이 좋습니다.