기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 암호화된 인증을 위한 액세스 토큰 관리
<a name="gr-managing-access-tokens"></a>

액세스 토큰은 DoH 및 DoT 프로토콜에 대한 암호화된 인증을 제공합니다. IP 기반 액세스 소스와 달리 토큰은 클라이언트 위치에 관계없이 작동하며 암호화 및 만료 제어를 통해 향상된 보안을 제공합니다.

## 액세스 토큰 생성
<a name="gr-creating-access-tokens"></a>

다음 단계에 따라 액세스 토큰을 생성하여 DoH 또는 DoT 프로토콜을 사용하는 클라이언트 디바이스를 인증합니다.

1. Route 53 Global Resolver 콘솔을 열고 DNS 보기로 이동합니다.

1. **액세스 소스** 섹션에서 **액세스 토큰 생성을** 선택합니다.

1. **이름**에 `mobile-devices` 또는와 같이 토큰의 목적을 식별하는 설명이 포함된 이름을 입력합니다`remote-workers-q4`.

1. **만료**의 경우 토큰이 만료되어야 하는 시기를 설정합니다. 보안을 위해 90일 이하를 사용하는 것이 좋습니다. 만료 기간을 설정할 때 토큰 배포 및 갱신 기능을 고려합니다.

1. **액세스 토큰 생성을** 선택합니다.

1. 조직의 보안 통신 채널을 사용하여 클라이언트 디바이스에 토큰을 안전하게 배포합니다.

## 액세스 토큰을 사용하여 클라이언트 디바이스 구성
<a name="gr-configuring-client-devices"></a>

Route 53 Global Resolver 인프라에서 인증에 액세스 토큰을 사용하도록 클라이언트 디바이스를 구성합니다.

**DoH 구성**  
액세스 토큰으로 DoH를 구성하려면 글로벌 해석기의 DNS 이름 또는 IP 주소가 필요합니다.  

1. GetGlobalResolver API를 사용하여 해석기의 연결 세부 정보를 검색합니다.

1. `ipv4Addresses` (예: 3.3.3.3, 3.3.3.4) 및 `dnsName` (예: a1bc234567890a.route53globalresolver.global.on.aws)를 기록해 둡니다.

1. DNS 이름을 사용하여 토큰을 DoH 엔드포인트에 URL 파라미터로 포함합니다.

   ```
   https://a1bc234567890a.route53globalresolver.global.on.aws/dns-query?token=<token-value>
   ```
를 생성한 실제 토큰`<token-value>`으로 바꿉니다.

**DoT 구성**  
액세스 토큰이 있는 DoT 쿼리의 경우 다음 사양과 함께 EDNS0 옵션에 토큰을 포함합니다.  
+ **옵션 코드:** `0xffa0`
+ **옵션 데이터:** 문자열 형식의 액세스 토큰
특정 구현은 DoT 클라이언트 소프트웨어와 EDNS0 옵션을 처리하는 방법에 따라 달라집니다.

## 토큰 수명 주기 관리
<a name="gr-token-lifecycle-management"></a>

토큰 만료 및 갱신을 관리하여 클라이언트 디바이스에 대한 보안 액세스를 유지합니다.
+ **만료 날짜 모니터링** - 토큰 만료 날짜를 추적하고 갱신을 미리 계획합니다.
+ **만료 전 갱신** - 서비스 중단을 방지하기 위해 이전 토큰이 만료되기 전에 새 토큰을 생성합니다.
+ **토큰을 정기적으로 교체** - 보안 강화를 위해 만료 전에도 토큰을 주기적으로 교체합니다.
+ **손상된 토큰 취소** - 손상된 것으로 의심되는 경우 토큰을 즉시 삭제합니다.

관리 오버헤드를 줄이기 위해 대규모 배포를 위한 자동화된 토큰 갱신 프로세스를 구현하는 것이 좋습니다.