Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung von Zugriffskontrollen mit Zugriffsquellen und Tokens in Route 53 Global Resolver
<a name="gr-managing-access-controls"></a>

Route 53 Global Resolver bietet zwei Hauptmethoden zur Steuerung des Zugriffs auf Client-Geräte: Zugriffsquellen für die IP-basierte Authentifizierung und Zugriffstoken für die tokenbasierte Authentifizierung. Dieses Kapitel behandelt beide Ansätze und hilft Ihnen dabei, die richtige Authentifizierungsmethode für Ihre Umgebung auszuwählen und umfassende Zugriffskontrollen zu implementieren.

**Topics**
+ [Methoden zur Zugriffskontrolle](gr-understanding-access-control-methods.md)
+ [Konfiguration von Zugriffsquellen](gr-configuring-access-sources.md)
+ [Verwaltung von Zugriffstokens](gr-managing-access-tokens.md)
+ [Best Practices](gr-access-control-best-practices.md)

# Grundlegendes zu den Zugriffskontrollmethoden in Route 53 Global Resolver
<a name="gr-understanding-access-control-methods"></a>

Route 53 Global Resolver bietet zwei unterschiedliche Authentifizierungsmethoden zur Steuerung des Client-Zugriffs auf Ihre DNS-Infrastruktur. Jede Methode dient unterschiedlichen Anwendungsfällen und Umgebungen.

IP-basierte Zugriffsquellen  
Sie konfigurieren Zugriffsquellenregeln, die DNS-Abfragen auf der Grundlage von Client-IP-Adressen zulassen oder verweigern. Diese Methode eignet sich gut für Umgebungen mit vorhersehbaren IP-Bereichen, z. B. Zweigstellen oder VPN-Verbindungen. Zugriffsquellen unterstützen alle DNS-Protokolle (Do53, DoT und DoH) und bieten Netzwerkadministratoren eine einfache Konfiguration.

Token-basierte Authentifizierung  
Zugriffstoken bieten eine sichere Authentifizierung für DoH- und DoT-Protokolle mithilfe verschlüsselter, zeitlich begrenzter Anmeldeinformationen. Diese Methode eignet sich für mobile Clients und Umgebungen, in denen sich IP-Adressen häufig ändern. Sie können Token vor Ablauf erneuern und sie bieten durch Verschlüsselung mehr Sicherheit.

Berücksichtigen Sie bei der Auswahl Ihres Authentifizierungsansatzes die folgenden Faktoren:

## Auswahl der richtigen Authentifizierungsmethode
<a name="gr-choosing-authentication"></a>


| Faktor | Zugriffsquellen | Zugriffstoken | 
| --- | --- | --- | 
| Am besten geeignet für | Feste IP-Bereiche, Büronetzwerke, VPN-Benutzer | Mobile Geräte, dynamische IPs Mitarbeiter, die von zu Hause aus arbeiten | 
| Sicherheitsstufe | Netzwerkbasiert, basiert auf IP-Trust | Verschlüsselte Anmeldedaten, zeitlich begrenzt | 
| Komplexität der Verwaltung | Einfache Verwaltung des IP-Bereichs | Lebenszyklus und Verteilung von Tokens | 
| Protokollunterstützung | Do53, DoT, DoH | Nur DoT, DoH | 

Sie können beide Methoden gleichzeitig verwenden, um mehrschichtige Sicherheit zu schaffen. Verwenden Sie beispielsweise Zugriffsquellen für Büronetzwerke und Token für Mitarbeiter an entfernten Standorten.

# Konfiguration von Zugriffsquellen und Zugriffsquellenregeln
<a name="gr-configuring-access-sources"></a>

Zugriffsquellen steuern den Client-Zugriff auf der Grundlage von IP-Adressen. Sie erstellen Zugriffsquellenregeln, die angeben, welche IP-Bereiche Ihre DNS-Infrastruktur abfragen können und welche Protokolle sie verwenden können.

## Regeln für Zugriffsquellen erstellen
<a name="gr-creating-access-source-rules"></a>

Gehen Sie wie folgt vor, um eine Zugriffsquellenregel zu erstellen, die es bestimmten IP-Bereichen ermöglicht, Ihre DNS-Infrastruktur abzufragen.

1. Öffnen Sie die Route 53 Global Resolver-Konsole und navigieren Sie zu Ihrer DNS-Ansicht.

1. Wählen Sie im Abschnitt **Zugriffsquelle** die Option **Zugriffsquellenregel erstellen** aus.

1. Geben Sie **unter Regelname** einen aussagekräftigen Namen ein, der den Zweck dieser Regel kennzeichnet, z. B. `office-network` oder`vpn-users`.

1. Wählen Sie als **IP-Adresstyp **IPV4****oder **IPV6**.

1. Geben Sie für **CIDR-Block** die IP-Adressen an, die Zugriff haben sollen. Sie können die CIDR-Notation für IP-Bereiche verwenden: `203.0.113.0/24` oder`2001:db8::/112`, oder einzelne IP-Adressen: `203.0.113.5/32` oder. `2001:db8::1/128`

1. Wählen Sie **unter Protokoll** die DNS-Protokolle aus, für die diese Regel gilt:
   + **Do53** — Standard-DNS über UDP/TCP (Port 53)
   + **DoT** — DNS über TLS (Port 853)
   + **DoH** — DNS über HTTPS (Port 443)

1. Wählen Sie **Zugriffsquellenregel erstellen** aus.

Client-Geräte aus den angegebenen IP-Bereichen können jetzt Ihre DNS-Infrastruktur mithilfe der ausgewählten Protokolle abfragen.

## Grundlegendes zur Bewertung und Priorität von Regeln
<a name="gr-understanding-rule-evaluation"></a>

Route 53 Global Resolver bewertet die Regeln für die Zugriffsquelle, wenn es darum geht, die richtige zu verwendende Ansicht zu ermitteln.
+ Regeln werden von den spezifischsten bis hin zu den am wenigsten spezifischen IP-Bereichen verarbeitet, wobei die spezifischste Übereinstimmungsregel Vorrang hat.
+ Wenn keine Regeln übereinstimmen, wird die Anfrage standardmäßig abgelehnt.

Testen Sie Ihre Konfiguration der Zugriffsquelle, indem Sie Abfragen von verschiedenen IP-Adressen aus durchführen, um sicherzustellen, dass die Regeln erwartungsgemäß funktionieren.

# Verwaltung von Zugriffstoken für die verschlüsselte Authentifizierung
<a name="gr-managing-access-tokens"></a>

Zugriffstoken ermöglichen eine verschlüsselte Authentifizierung für DoH- und DoT-Protokolle. Im Gegensatz zu IP-basierten Zugriffsquellen funktionieren Token unabhängig vom Standort des Kunden und bieten durch Verschlüsselungs- und Ablaufkontrollen mehr Sicherheit.

## Zugriffstoken erstellen
<a name="gr-creating-access-tokens"></a>

Gehen Sie wie folgt vor, um Zugriffstoken zur Authentifizierung von Client-Geräten zu erstellen, die DoH- oder DoT-Protokolle verwenden.

1. Öffnen Sie die Route 53 Global Resolver-Konsole und navigieren Sie zu Ihrer DNS-Ansicht.

1. Wählen Sie im Abschnitt **Zugriffsquelle** die Option **Zugriffstoken erstellen** aus.

1. Geben Sie **unter Name** einen aussagekräftigen Namen ein, der den Zweck des Tokens identifiziert, z. B. `mobile-devices` oder`remote-workers-q4`.

1. Geben Sie **unter Ablauf** an, wann das Token ablaufen soll. Aus Sicherheitsgründen empfehlen wir 90 Tage oder weniger. Berücksichtigen Sie bei der Festlegung des Ablaufzeitraums Ihre Möglichkeiten zur Verteilung und Verlängerung von Tokens.

1. Wählen Sie **Zugriffstoken erstellen** aus.

1. Verteilen Sie das Token sicher über die sicheren Kommunikationskanäle Ihres Unternehmens an Ihre Client-Geräte.

## Konfiguration von Client-Geräten mit Zugriffstoken
<a name="gr-configuring-client-devices"></a>

Konfigurieren Sie Client-Geräte so, dass sie Zugriffstoken für die Authentifizierung mit Ihrer Route 53 Global Resolver-Infrastruktur verwenden.

**DoH-Konfiguration**  
Um DoH mit Zugriffstoken zu konfigurieren, benötigen Sie den DNS-Namen oder die IP-Adressen Ihres globalen Resolvers:  

1. Verwenden Sie die GetGlobalResolver API, um Verbindungsdetails für Ihren Resolver abzurufen.

1. Beachten Sie die `ipv4Addresses` (z. B. 3.3.3.3, 3.3.3.4) und (zum Beispiel `dnsName` a1bc234567890a.route53globalresolver.global.on.aws).

1. Fügen Sie das Token unter Verwendung des DNS-Namens als URL-Parameter in den DoH-Endpunkt ein:

   ```
   https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>
   ```
`<token-value>`Ersetzen Sie es durch das tatsächliche Token, das Sie generiert haben.

**DoT-Konfiguration**  
Fügen Sie bei DoT-Abfragen mit Zugriffstoken das Token in eine EDNS0 Option mit den folgenden Spezifikationen ein:  
+ **Optionscode:** `0xffa0`
+ **Optionsdaten:** Das Zugriffstoken im Zeichenkettenformat
Die spezifische Implementierung hängt von Ihrer DoT-Client-Software und davon ab, wie sie mit EDNS0 Optionen umgeht.

## Verwaltung des Token-Lebenszyklus
<a name="gr-token-lifecycle-management"></a>

Verwalten Sie den Ablauf und die Verlängerung von Tokens, um einen sicheren Zugriff für Ihre Client-Geräte zu gewährleisten.
+ **Ablaufdaten überwachen** — Verfolgen Sie die Ablaufdaten von Tokens und planen Sie Verlängerungen im Voraus.
+ **Vor Ablauf verlängern** — Erstellen Sie neue Token, bevor alte ablaufen, um Serviceunterbrechungen zu vermeiden.
+ **Wechseln Sie die Tokens regelmäßig** — Tauschen Sie Token aus Sicherheitsgründen regelmäßig aus, noch bevor sie ablaufen.
+ **Widerrufen kompromittierter Token** — Löschen Sie Token sofort, wenn Sie vermuten, dass sie kompromittiert wurden.

Erwägen Sie die Implementierung automatisierter Prozesse zur Token-Erneuerung für große Bereitstellungen, um den Verwaltungsaufwand zu reduzieren.

# Beispiele für die Plattformkonfiguration
<a name="gr-platform-configuration-examples"></a>

Verwenden Sie diese plattformspezifischen Beispiele, um Client-Geräte mit Ihren Route 53 Global Resolver-Zugriffstoken und Verbindungsdetails zu konfigurieren.

## Windows-Konfiguration
<a name="gr-windows-configuration"></a>

Gehen Sie wie folgt vor, um Windows-Clients mithilfe des Befehls netsh für die Verwendung von DoH mit Zugriffstoken zu konfigurieren.

1. Öffnen Sie die Eingabeaufforderung als Administrator.

1. Aktivieren Sie die globale DoH-Einstellung:

   ```
   netsh dns add global doh=yes
   ```

1. Registrieren Sie DoH-Server mit Zugriffstoken. Ersetzen Sie die Beispielwerte durch Ihre tatsächlichen Resolver-Details:

   ```
   netsh dns add encryption server=3.3.3.3 dohtemplate=https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<your-token> autoupgrade=yes
   netsh dns add encryption server=3.3.3.4 dohtemplate=https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<your-token> autoupgrade=yes
   ```

1. Leeren Sie den DNS-Cache:

   ```
   ipconfig /flushdns
   ```

1. Überprüfen Sie die Konfiguration:

   ```
   netsh dns show global
   ```

## macOS-Konfiguration
<a name="gr-macOS-configuration"></a>

Gehen Sie wie folgt vor, um macOS-Clients mithilfe eines mobilen Konfigurationsprofils für DoH mit Zugriffstoken zu konfigurieren.

Erstellen Sie ein mobiles Konfigurationsprofil mit der folgenden Struktur:

```
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>PayloadContent</key>
  <array>
    <dict>
      <key>DNSSettings</key>
      <dict>
        <key>DNSProtocol</key>
        <string>HTTPS</string>
        <key>ServerAddresses</key>
        <array>
          <string>3.3.3.3</string>
          <string>3.3.3.4</string>
        </array>
        <key>ServerURL</key>
        <string>https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<your-token></string>
      </dict>
      <key>PayloadType</key>
      <string>com.apple.dnsSettings.managed</string>
    </dict>
  </array>
</dict>
</plist>
```

Installieren Sie das Profil über Systemeinstellungen > Geräteverwaltung.

# Bewährte Methoden und Sicherheitsüberlegungen zur Zugriffskontrolle
<a name="gr-access-control-best-practices"></a>

Befolgen Sie diese bewährten Methoden, um sichere und effektive Zugriffskontrollen für Ihre Route 53 Global Resolver-Infrastruktur aufrechtzuerhalten.

## Bewährte Methoden für die Gewährleistung der Sicherheit
<a name="gr-security-best-practices"></a>

Implementieren Sie diese Sicherheitsmaßnahmen, um Ihre DNS-Infrastruktur zu schützen:
+ **Verwenden Sie mehrschichtige Authentifizierung** — Kombinieren Sie Zugriffsquellen für vertrauenswürdige Netzwerke mit Tokens für mobile Benutzer. Dieser Ansatz bietet umfassenden Schutz und ist für unterschiedliche Kundenszenarien geeignet.
+ **Implementieren Sie den Zugriff mit den geringsten** Rechten — Gewähren Sie nur Zugriff auf die IP-Bereiche und Protokolle, die Clients tatsächlich benötigen. Vermeiden Sie zu weit gefasste Regeln für Zugriffsquellen, die Ihre Infrastruktur unberechtigtem Zugriff aussetzen könnten.
+ **Wechseln Sie die Tokens regelmäßig** — Ersetzen Sie Zugriffstoken regelmäßig, noch bevor sie ablaufen. Diese Vorgehensweise begrenzt die Auswirkungen kompromittierter Token und gewährleistet die Sicherheitshygiene.
+ **Zugriffsmuster überwachen** — Überprüfen Sie die DNS-Abfrageprotokolle, um ungewöhnliche Zugriffsmuster oder potenzielle Sicherheitsprobleme zu identifizieren. Richten Sie Benachrichtigungen für Abfragen aus unerwarteten IP-Bereichen oder für die Verwendung abgelaufener Token ein.

## Bewährte betriebliche Verfahren
<a name="gr-operational-best-practices"></a>

Halten Sie sich an die folgenden betrieblichen Verfahren, um zuverlässige Zugriffskontrollen aufrechtzuerhalten:
+ **Dokumentieren Sie Ihre Zugriffskontrollstrategie** — Sorgen Sie für eine klare Dokumentation darüber, welche Zugriffsquellen und Tokens welchen Kundengruppen dienen.
+ **Testen Sie die Zugriffskontrollen regelmäßig** — Stellen Sie sicher, dass Ihre Regeln und Token für die Zugriffsquellen von verschiedenen Client-Standorten und in verschiedenen Szenarien aus korrekt funktionieren.
+ **Planen Sie die Token-Erneuerung** — Richten Sie Prozesse für die Verteilung neuer Token ein, bevor alte ablaufen, um Serviceunterbrechungen zu vermeiden.
+ **Überprüfen Sie die Zugriffskontrollen regelmäßig** — Entfernen Sie ungenutzte Regeln für Zugriffsquellen und abgelaufene Token, um eine saubere Konfiguration zu gewährleisten.