Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des contrôles d'accès avec des sources d'accès et des jetons dans Route 53 Global Resolver
Route 53 Global Resolver fournit deux méthodes principales pour contrôler l'accès aux appareils clients : les sources d'accès pour l'authentification basée sur l'IP et les jetons d'accès pour l'authentification basée sur les jetons. Ce chapitre couvre les deux approches et vous aide à choisir la méthode d'authentification adaptée à votre environnement et à mettre en œuvre des contrôles d'accès complets.
**Topics**
+ [Méthodes de contrôle d'accès](gr-understanding-access-control-methods.md)
+ [Configuration des sources d’accès](gr-configuring-access-sources.md)
+ [Gestion des jetons d’accès](gr-managing-access-tokens.md)
+ [Bonnes pratiques](gr-access-control-best-practices.md)
# Comprendre les méthodes de contrôle d'accès dans Route 53 Global Resolver
Route 53 Global Resolver propose deux méthodes d'authentification distinctes pour contrôler l'accès des clients à votre infrastructure DNS. Chaque méthode répond à des cas d'utilisation et à des environnements différents.
Sources d'accès basées sur IP
Vous configurez des règles de source d'accès qui autorisent ou refusent les requêtes DNS en fonction des adresses IP des clients. Cette méthode fonctionne bien pour les environnements avec des plages d'adresses IP prévisibles, tels que les succursales ou les connexions VPN. Les sources d'accès prennent en charge tous les protocoles DNS (Do53, DoT et DoH) et fournissent une configuration simple pour les administrateurs réseau.
Authentification basée sur des jetons
Les jetons d'accès fournissent une authentification sécurisée pour les protocoles DoH et DoT à l'aide d'informations d'identification cryptées et limitées dans le temps. Cette méthode convient aux clients mobiles et aux environnements où les adresses IP changent fréquemment. Vous pouvez renouveler les jetons avant leur expiration et ils offrent une sécurité renforcée grâce au cryptage.
Tenez compte des facteurs suivants lorsque vous sélectionnez votre approche d'authentification :
## Choisir la bonne méthode d'authentification
| Factor | Sources d’accès | Jetons d'accès |
| --- | --- | --- |
| Idéal pour | Plages d'adresses IP fixes, réseaux de bureau, utilisateurs de VPN | Appareils mobiles, travailleurs dynamiques IPs et distants |
| Niveau de sécurité | Basé sur le réseau, repose sur la confiance en matière de propriété intellectuelle | Informations d'identification cryptées, limitées dans le temps |
| Complexité de gestion | Gestion simple de la plage d'adresses IP | Cycle de vie et distribution des jetons |
| Support du protocole | Do53, DoT, DoH | DoT, DoH uniquement |
Vous pouvez utiliser les deux méthodes simultanément pour créer une sécurité multicouche. Par exemple, utilisez des sources d'accès pour les réseaux de bureau et des jetons pour les télétravailleurs.
# Configuration des sources d'accès et des règles relatives aux sources d'accès
Les sources d'accès contrôlent l'accès des clients en fonction des adresses IP. Vous créez des règles de source d'accès qui spécifient les plages d'adresses IP qui peuvent interroger votre infrastructure DNS et les protocoles qu'elles peuvent utiliser.
## Création de règles de source d'accès
Suivez ces étapes pour créer une règle de source d'accès qui autorise des plages d'adresses IP spécifiques à interroger votre infrastructure DNS.
1. Ouvrez la console Route 53 Global Resolver et accédez à votre vue DNS.
1. Dans la section **Source d'accès**, choisissez **Créer une règle de source d'accès**.
1. Dans **Nom de la règle**, entrez un nom descriptif identifiant l'objectif de cette règle, tel que `office-network` ou`vpn-users`.
1. Pour le **type d'adresse IP**, sélectionnez **IPV4**ou **IPV6**.
1. Pour le **bloc CIDR**, spécifiez les adresses IP auxquelles l'accès doit être autorisé. Vous pouvez utiliser la notation CIDR pour les plages d'adresses IP : `203.0.113.0/24` ou`2001:db8::/112`, ou pour les adresses IP individuelles : `203.0.113.5/32` ou`2001:db8::1/128`.
1. Pour **Protocole**, sélectionnez les protocoles DNS auxquels cette règle s'applique :
+ **Do53** - Connexion DNS standard UDP/TCP (port 53)
+ **DoT** - DNS sur TLS (port 853)
+ **DoH** - DNS sur HTTPS (port 443)
1. Choisissez **Créer une règle de source d'accès**.
Les appareils clients appartenant aux plages d'adresses IP spécifiées peuvent désormais interroger votre infrastructure DNS à l'aide des protocoles sélectionnés.
## Comprendre l'évaluation et la priorité des règles
Route 53 Global Resolver évalue les règles de source d'accès lors de l'identification de la vue correcte à utiliser.
+ Les règles sont traitées à partir des plages d'adresses IP les plus spécifiques aux plages d'adresses IP les moins spécifiques, la règle de correspondance la plus spécifique ayant la priorité.
+ Si aucune règle ne correspond, la demande est refusée par défaut.
Testez la configuration de votre source d'accès en effectuant des requêtes à partir de différentes adresses IP pour vous assurer que les règles fonctionnent comme prévu.
# Gestion des jetons d'accès pour l'authentification cryptée
Les jetons d'accès fournissent une authentification cryptée pour les protocoles DoH et DoT. Contrairement aux sources d'accès basées sur IP, les jetons fonctionnent quel que soit l'emplacement du client et offrent une sécurité renforcée grâce au chiffrement et aux contrôles d'expiration.
## Création de jetons d'accès
Suivez ces étapes pour créer des jetons d'accès afin d'authentifier les appareils clients qui utilisent les protocoles DoH ou DoT.
1. Ouvrez la console Route 53 Global Resolver et accédez à votre vue DNS.
1. Dans la section **Source d'accès**, choisissez **Créer un jeton d'accès**.
1. Dans **Nom**, entrez un nom descriptif identifiant l'objectif du jeton, tel que `mobile-devices` ou`remote-workers-q4`.
1. Pour **Expiration**, définissez la date d'expiration du jeton. Nous recommandons 90 jours ou moins pour des raisons de sécurité. Tenez compte de vos capacités de distribution et de renouvellement de jetons lorsque vous définissez la période d'expiration.
1. Choisissez **Créer un jeton d'accès**.
1. Distribuez le jeton en toute sécurité sur les appareils de vos clients en utilisant les canaux de communication sécurisés de votre entreprise.
## Configuration des appareils clients avec des jetons d'accès
Configurez les appareils clients pour utiliser des jetons d'accès pour l'authentification auprès de votre infrastructure Route 53 Global Resolver.
**Configuration du DoH**
Pour configurer DoH avec des jetons d'accès, vous avez besoin du nom DNS ou des adresses IP de votre résolveur global :
1. Utilisez l' GetGlobalResolver API pour récupérer les informations de connectivité de votre résolveur.
1. Notez `ipv4Addresses` (par exemple, 3.3.3.3, 3.3.3.4) et (par exemple, `dnsName` a1bc234567890a.route53globalresolver.global.on.aws).
1. Incluez le jeton en tant que paramètre d'URL dans le point de terminaison DoH en utilisant le nom DNS :
```
https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=
```
``Remplacez-le par le jeton que vous avez généré.
**Configuration du DoT**
Pour les requêtes DoT avec des jetons d'accès, incluez le jeton dans une EDNS0 option avec les spécifications suivantes :
+ **Code d'option :** `0xffa0`
+ **Données d'option :** le jeton d'accès au format chaîne
L'implémentation spécifique dépend de votre logiciel client DoT et de la manière dont il gère EDNS0 les options.
## Gestion du cycle de vie des jetons
Gérez l'expiration et le renouvellement des jetons afin de garantir un accès sécurisé à vos appareils clients.
+ **Surveillez les dates d'expiration** : suivez les dates d'expiration des jetons et planifiez les renouvellements à l'avance.
+ **Renouveler avant expiration** : créez de nouveaux jetons avant que les anciens n'expirent pour éviter toute interruption de service.
+ **Effectuez une rotation régulière des** jetons - Remplacez les jetons régulièrement avant même leur expiration pour une sécurité renforcée.
+ **Révoquer les jetons compromis** : supprimez immédiatement les jetons si vous pensez qu'ils ont été compromis.
Envisagez de mettre en œuvre des processus automatisés de renouvellement des jetons pour les déploiements de grande envergure afin de réduire les frais administratifs.
# Exemples de configuration de plateforme
Utilisez ces exemples spécifiques à la plate-forme pour configurer les appareils clients avec vos jetons d'accès Route 53 Global Resolver et les détails de connexion.
## Configuration de Windows
Procédez comme suit pour configurer les clients Windows afin qu'ils utilisent DoH avec des jetons d'accès à l'aide de la commande netsh.
1. Ouvrez Command Prompt en tant qu'administrateur.
1. Activez le paramètre DoH global :
```
netsh dns add global doh=yes
```
1. Enregistrez les serveurs DoH avec des jetons d'accès. Remplacez les valeurs d'exemple par les détails de votre résolveur actuel :
```
netsh dns add encryption server=3.3.3.3 dohtemplate=https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token= autoupgrade=yes
netsh dns add encryption server=3.3.3.4 dohtemplate=https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token= autoupgrade=yes
```
1. Videz le cache DNS :
```
ipconfig /flushdns
```
1. Vérifiez la configuration :
```
netsh dns show global
```
## Configuration de macOS
Suivez ces étapes pour configurer les clients macOS à l'aide d'un profil de configuration mobile pour DoH avec des jetons d'accès.
Créez un profil de configuration mobile avec la structure suivante :
```
PayloadContent
DNSSettings
DNSProtocol
HTTPS
ServerAddresses
3.3.3.3
3.3.3.4
ServerURL
https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=
PayloadType
com.apple.dnsSettings.managed
```
Installez le profil via Paramètres système > Gestion des périphériques.
# Meilleures pratiques en matière de contrôle d'accès et considérations relatives à la sécurité
Suivez ces meilleures pratiques pour maintenir des contrôles d'accès sécurisés et efficaces pour votre infrastructure Route 53 Global Resolver.
## Bonnes pratiques de sécurité
Mettez en œuvre les mesures de sécurité suivantes pour protéger votre infrastructure DNS :
+ **Utilisez l'authentification par couches** : combinez les sources d'accès pour les réseaux fiables avec des jetons pour les utilisateurs mobiles. Cette approche fournit une défense approfondie et s'adapte à différents scénarios clients.
+ **Mettez en œuvre l'accès avec le moindre privilège** : accordez l'accès uniquement aux plages d'adresses IP et aux protocoles dont les clients ont réellement besoin. Évitez les règles de source d'accès trop larges qui pourraient exposer votre infrastructure à une utilisation non autorisée.
+ Effectuez une **rotation régulière des jetons** : remplacez les jetons d'accès selon un calendrier régulier, même avant leur expiration. Cette pratique limite l'impact des jetons compromis et préserve l'hygiène de sécurité.
+ **Surveillez les modèles d'accès** : consultez les journaux de requêtes DNS pour identifier les modèles d'accès inhabituels ou les problèmes de sécurité potentiels. Configurez des alertes pour les requêtes provenant de plages d'adresses IP inattendues ou utilisant des jetons expirés.
## Bonnes pratiques opérationnelles
Suivez les pratiques opérationnelles suivantes pour maintenir des contrôles d'accès fiables :
+ **Documentez votre stratégie de contrôle d'accès** - Conservez une documentation claire indiquant quelles sources d'accès et quels jetons desservent quels groupes de clients.
+ **Testez régulièrement les contrôles d'accès** : vérifiez que vos règles de source d'accès et vos jetons fonctionnent correctement selon les emplacements et les scénarios des clients.
+ **Planifiez le renouvellement des jetons** - Établissez des processus de distribution des nouveaux jetons avant l'expiration des anciens afin d'éviter les interruptions de service.
+ Passez **régulièrement en revue les contrôles d'accès** : supprimez les règles de source d'accès non utilisées et les jetons expirés afin de maintenir une configuration propre.