管理加密身份验证的访问令牌 - Amazon Route 53
创建访问令牌使用访问令牌配置客户端设备代币生命周期管理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理加密身份验证的访问令牌

访问令牌为 DoH 和 DoT 协议提供加密身份验证。与基于 IP 的访问源不同,令牌无论客户位于何处都能正常工作,并通过加密和过期控制提供更高的安全性。

创建访问令牌

按照以下步骤创建访问令牌,以对使用 DoH 或 DoT 协议的客户端设备进行身份验证。

  1. 打开 Route 53 全球解析器控制台并导航到您的 DNS 视图。

  2. 访问源部分中,选择创建访问令牌

  3. 名称中,输入标识令牌用途的描述性名称,例如mobile-devicesremote-workers-q4

  4. 对于到期,设置令牌的到期时间。出于安全考虑,我们建议 90 天或更短时间。在设置到期期限时,请考虑您的代币分配和续订能力。

  5. 选择创建访问令牌

  6. 使用贵组织的安全通信渠道将令牌安全地分发到您的客户端设备。

使用访问令牌配置客户端设备

将客户端设备配置为使用访问令牌对 Route 53 全球解析器基础架构进行身份验证。

卫生部配置

要使用访问令牌配置 DoH,您需要全局解析器的 DNS 名称或 IP 地址:

  1. 使用 GetGlobalResolver API 检索解析器的连接详情。

  2. 请注意(例如,3.3.3、3.3.4)和ipv4Addresses(例如 a1bc234567890a.route53globalresolver.globalresolver.glob dnsName al.on.aws)。

  3. 使用 DNS 名称将令牌作为 URL 参数包含在 DoH 端点中:

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

<token-value>用您生成的实际令牌替换。

交通部配置

对于使用访问令牌的 DoT 查询,请将该令牌包含在 EDNS0 选项中,规格如下:

  • 选项代码:0xffa0

  • 选项数据:字符串格式的访问令牌

具体实现取决于您的 DoT 客户端软件及其处理 EDNS0 选项的方式。

代币生命周期管理

管理令牌到期和续订,以维护您的客户端设备的安全访问。

  • 监控到期日期-提前跟踪代币到期日期和计划续订。

  • 到期前续费-在旧令牌到期之前创建新令牌,以避免服务中断。

  • 定期轮换令牌-即使在令牌到期之前也要定期更换令牌,以增强安全性。

  • 撤销已被盗的代币-如果您怀疑令牌已被盗用,请立即将其删除。

考虑为大型部署实施自动令牌续订流程,以减少管理开销。