本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 Route 53 Global Resolver 中的存取控制方法
Route 53 Global Resolver 提供兩種不同的身分驗證方法來控制用戶端存取您的 DNS 基礎設施。每個方法都提供不同的使用案例和環境。
- IP 型存取來源
-
您可以設定存取來源規則,以根據用戶端 IP 地址允許或拒絕 DNS 查詢。此方法適用於具有可預測 IP 範圍的環境,例如分支辦公室或 VPN 連線。存取來源支援所有 DNS 通訊協定 (Do53、DoT 和 DoH),並為網路管理員提供直接的組態。
- 字符型身分驗證
-
存取字符使用加密的限時登入資料,為 DoH 和 DoT 通訊協定提供安全身分驗證。此方法適合行動用戶端和 IP 地址經常變更的環境。您可以在過期之前續約權杖,並透過加密提供增強的安全性。
選取身分驗證方法時,請考量下列因素:
選擇正確的身分驗證方法
| Factor | 存取來源 | 存取權杖 |
|---|---|---|
| 最適合 | 固定 IP 範圍、辦公室網路、VPN 使用者 | 行動裝置、動態 IPs、遠端工作者 |
| 安全層級 | 網路型,依賴 IP 信任 | 加密的登入資料,有時間限制 |
| 管理複雜性 | 簡單 IP 範圍管理 | 字符生命週期和分佈 |
| 通訊協定支援 | Do53、DoT、DoH | DoT,僅限 DoH |
您可以同時使用這兩種方法來建立分層安全性。例如,使用辦公室網路的存取來源和遠端工作者的字符。
