管理加密身分驗證的存取字符 - Amazon Route 53
建立存取權杖使用存取權杖設定用戶端裝置字符生命週期管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理加密身分驗證的存取字符

存取字符提供 DoH 和 DoT 通訊協定的加密身分驗證。與 IP 型存取來源不同,字符無論用戶端位置為何都能運作,並透過加密和過期控制提供增強的安全性。

建立存取權杖

請依照下列步驟建立存取權杖,以驗證使用 DoH 或 DoT 通訊協定的用戶端裝置。

  1. 開啟 Route 53 Global Resolver 主控台並導覽至您的 DNS 檢視。

  2. 存取來源區段中,選擇建立存取字符

  3. 針對名稱,輸入識別字符用途的描述性名稱,例如 mobile-devicesremote-workers-q4

  4. 針對過期,設定權杖何時過期。為了安全起見,我們建議使用 90 天以內。設定過期期間時,請考慮您的字符分佈和續約功能。

  5. 選擇建立存取權杖

  6. 使用組織的安全通訊管道,將字符安全地分發到您的用戶端裝置。

使用存取權杖設定用戶端裝置

將用戶端裝置設定為使用存取字符與 Route 53 Global Resolver 基礎設施進行身分驗證。

DoH 組態

若要使用存取權杖設定 DoH,您需要全域解析程式的 DNS 名稱或 IP 地址:

  1. 使用 GetGlobalResolver API 擷取解析程式的連線詳細資訊。

  2. 請注意 ipv4Addresses(例如,3.3.3.3、3.3.4) 和 dnsName(例如,a1bc234567890a.route53globalresolver.global.on.aws)。

  3. 使用 DNS 名稱在 DoH 端點中包含字符做為 URL 參數:

    https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>

<token-value> 將 取代為您產生的實際字符。

DoT 組態

對於具有存取權杖的 DoT 查詢,請在具有下列規格的 EDNS0 選項中包含權杖:

  • 選項代碼: 0xffa0

  • 選項資料:字串格式的存取權杖

特定實作取決於您的 DoT 用戶端軟體及其處理 EDNS0 選項的方式。

字符生命週期管理

管理權杖過期和續約,以維護用戶端裝置的安全存取。

  • 監控過期日期 - 事先追蹤字符過期日期和計劃續約。

  • 過期前續約 - 在舊權杖過期之前建立新的權杖,以避免服務中斷。

  • 定期輪換權杖 - 即使在過期之前也定期替換權杖,以提高安全性。

  • 撤銷洩露的字符 - 如果您懷疑字符已洩露,請立即刪除字符。

請考慮為大型部署實作自動權杖續約程序,以減少管理開銷。