本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理加密身份验证的访问令牌
<a name="gr-managing-access-tokens"></a>

访问令牌为 DoH 和 DoT 协议提供加密身份验证。与基于 IP 的访问源不同，令牌无论客户位于何处都能正常工作，并通过加密和过期控制提供更高的安全性。

## 创建访问令牌
<a name="gr-creating-access-tokens"></a>

按照以下步骤创建访问令牌，以对使用 DoH 或 DoT 协议的客户端设备进行身份验证。

1. 打开 Route 53 全球解析器控制台并导航到您的 DNS 视图。

1. 在**访问源**部分中，选择**创建访问令牌**。

1. 在**名称**中，输入标识令牌用途的描述性名称，例如`mobile-devices`或`remote-workers-q4`。

1. 对于**到期**，设置令牌的到期时间。出于安全考虑，我们建议 90 天或更短时间。在设置到期期限时，请考虑您的代币分配和续订能力。

1. 选择**创建访问令牌**。

1. 使用贵组织的安全通信渠道将令牌安全地分发到您的客户端设备。

## 使用访问令牌配置客户端设备
<a name="gr-configuring-client-devices"></a>

将客户端设备配置为使用访问令牌对 Route 53 全球解析器基础架构进行身份验证。

**卫生部配置**  
要使用访问令牌配置 DoH，您需要全局解析器的 DNS 名称或 IP 地址：  

1. 使用 GetGlobalResolver API 检索解析器的连接详情。

1. 请注意（例如，3.3.3、3.3.4）和`ipv4Addresses`（例如 a1bc234567890a.route53globalresolver.globalresolver.glob `dnsName` al.on.aws）。

1. 使用 DNS 名称将令牌作为 URL 参数包含在 DoH 端点中：

   ```
   https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>
   ```
`<token-value>`用您生成的实际令牌替换。

**DoT 配置**  
对于使用访问令牌的 DoT 查询，请将该令牌包含在具有以下规格的 EDNS0 选项中：  
+ **选项代码：**`0xffa0`
+ **选项数据：**字符串格式的访问令牌
具体的实现取决于您的 DoT 客户端软件及其处理 EDNS0选项的方式。

## 代币生命周期管理
<a name="gr-token-lifecycle-management"></a>

管理令牌到期和续订，以维护您的客户端设备的安全访问。
+ **监控到期日期**-提前跟踪代币到期日期和计划续订。
+ **到期前续费**-在旧令牌到期之前创建新令牌，以避免服务中断。
+ **定期轮换令牌**-即使在令牌到期之前也要定期更换令牌，以增强安全性。
+ **撤销已被盗的代币**-如果您怀疑令牌已被盗用，请立即将其删除。

考虑为大型部署实施自动令牌续订流程，以减少管理开销。