本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 访问控制最佳实践和安全注意事项
<a name="gr-access-control-best-practices"></a>

遵循这些最佳实践，为您的 Route 53 Global Resolver 基础设施维护安全有效的访问控制。

## 安全最佳实践
<a name="gr-security-best-practices"></a>

实施以下安全措施来保护您的 DNS 基础架构：
+ **使用分层身份验证**-将可信网络的访问源与移动用户的令牌相结合。这种方法提供了深度防御并适应不同的客户场景。
+ **实施最低权限访问权限**-仅授予对客户端实际需要的 IP 范围和协议的访问权限。避免过于宽泛的访问源规则，因为这可能会使您的基础架构遭到未经授权的使用。
+ **定期轮换令牌-定期**更换访问令牌，甚至在访问令牌到期之前。这种做法限制了被盗令牌的影响，并保持了安全卫生。
+ **监控访问模式**-查看 DNS 查询日志，找出异常的访问模式或潜在的安全问题。为来自意外 IP 范围的查询或使用过期令牌的查询设置警报。

## 运营最佳实践
<a name="gr-operational-best-practices"></a>

请遵循以下操作惯例来维护可靠的访问控制：
+ **记录您的访问控制策略**-清晰地记录哪些访问源和令牌为哪些客户群提供服务。
+ **定期测试访问控制**-验证您的访问源规则和令牌在不同的客户端位置和场景中是否正常运行。
+ **为令牌续订制定计划**-建立在旧代币到期之前分发新代币的流程，以避免服务中断。
+ **定期查看访问控制**-删除未使用的访问源规则和过期的令牌，以保持干净的配置。