本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理加密身分驗證的存取字符
<a name="gr-managing-access-tokens"></a>

存取字符提供 DoH 和 DoT 通訊協定的加密身分驗證。與 IP 型存取來源不同，字符無論用戶端位置為何都能運作，並透過加密和過期控制提供增強的安全性。

## 建立存取權杖
<a name="gr-creating-access-tokens"></a>

請依照下列步驟建立存取權杖，以驗證使用 DoH 或 DoT 通訊協定的用戶端裝置。

1. 開啟 Route 53 Global Resolver 主控台並導覽至您的 DNS 檢視。

1. 在**存取來源**區段中，選擇**建立存取字符**。

1. 針對**名稱**，輸入識別字符用途的描述性名稱，例如 `mobile-devices`或 `remote-workers-q4`。

1. 針對**過期**，設定權杖何時過期。為了安全起見，我們建議使用 90 天以內。設定過期期間時，請考慮您的字符分佈和續約功能。

1. 選擇**建立存取權杖**。

1. 使用組織的安全通訊管道，將字符安全地分發到您的用戶端裝置。

## 使用存取權杖設定用戶端裝置
<a name="gr-configuring-client-devices"></a>

將用戶端裝置設定為使用存取字符與 Route 53 Global Resolver 基礎設施進行身分驗證。

**DoH 組態**  
若要使用存取權杖設定 DoH，您需要全域解析程式的 DNS 名稱或 IP 地址：  

1. 使用 GetGlobalResolver API 擷取解析程式的連線詳細資訊。

1. 請注意 `ipv4Addresses`（例如 3.3.3.3、3.3.4) 和 `dnsName`（例如 a1bc234567890a.route53globalresolver.global.on.aws)。

1. 使用 DNS 名稱在 DoH 端點中包含字符做為 URL 參數：

   ```
   https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>
   ```
`<token-value>` 將 取代為您產生的實際字符。

**DoT 組態**  
對於具有存取權杖的 DoT 查詢，請在具有下列規格的 EDNS0 選項中包含權杖：  
+ **選項代碼：** `0xffa0`
+ **選項資料：**字串格式的存取權杖
特定實作取決於您的 DoT 用戶端軟體及其處理 EDNS0 選項的方式。

## 字符生命週期管理
<a name="gr-token-lifecycle-management"></a>

管理權杖過期和續約，以維護用戶端裝置的安全存取。
+ **監控過期日期** - 事先追蹤字符過期日期和計劃續約。
+ 在**過期前續約** - 在舊權杖過期之前建立新的權杖，以避免服務中斷。
+ **定期輪換權**杖 - 即使在過期之前也定期替換權杖，以提高安全性。
+ **撤銷洩露的字符** - 如果您懷疑字符已洩露，請立即刪除字符。

請考慮為大型部署實作自動權杖續約程序，以減少管理開銷。