本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 Route 53 全局解析器中的访问控制方法
Route 53 Global Resolver 提供了两种不同的身份验证方法来控制客户端对您的 DNS 基础设施的访问。每种方法都适用于不同的用例和环境。
- 基于 IP 的访问源
-
您可以配置访问源规则,允许或拒绝基于客户端 IP 地址的 DNS 查询。此方法非常适合 IP 范围可预测的环境,例如分支机构或 VPN 连接。访问源支持所有 DNS 协议(Do53、DoT 和 DoH),并为网络管理员提供了直接的配置。
- 基于令牌的身份验证
-
访问令牌使用加密的、有时间限制的凭据为 DoH 和 DoT 协议提供安全的身份验证。此方法适用于移动客户端和 IP 地址频繁变化的环境。您可以在令牌到期之前续订令牌,它们通过加密提供增强的安全性。
选择身份验证方法时,请考虑以下因素:
选择正确的身份验证方法
| 因素 | 访问来源 | 访问令牌 |
|---|---|---|
| 适用于 | 固定 IP 范围、办公网络、VPN 用户 | 移动设备、动态员工 IPs、远程工作人员 |
| 安全级别 | 基于网络,依赖 IP 信任 | 加密凭证,有时间限制 |
| 管理复杂性 | 简单的 IP 范围管理 | 代币生命周期和分发 |
| 协议支持 | Do53、DoT、DoH | 美国交通部,仅限卫生部 |
您可以同时使用这两种方法来创建分层安全。例如,将访问源用于办公网络,将令牌用于远程工作者。