本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 Route 53 全局解析器中的访问控制方法
<a name="gr-understanding-access-control-methods"></a>

Route 53 Global Resolver 提供了两种不同的身份验证方法来控制客户端对您的 DNS 基础设施的访问。每种方法都适用于不同的用例和环境。

基于 IP 的访问源  
您可以配置访问源规则，允许或拒绝基于客户端 IP 地址的 DNS 查询。此方法非常适合 IP 范围可预测的环境，例如分支机构或 VPN 连接。访问源支持所有 DNS 协议（Do53、DoT 和 DoH），并为网络管理员提供了直接的配置。

基于令牌的身份验证  
访问令牌使用加密的、有时间限制的凭据为 DoH 和 DoT 协议提供安全的身份验证。此方法适用于移动客户端和 IP 地址频繁变化的环境。您可以在令牌到期之前续订令牌，它们通过加密提供增强的安全性。

选择身份验证方法时，请考虑以下因素：

## 选择正确的身份验证方法
<a name="gr-choosing-authentication"></a>


| 因素 | 访问来源 | 访问令牌 | 
| --- | --- | --- | 
| 适用于 | 固定 IP 范围、办公网络、VPN 用户 | 移动设备、动态员工 IPs、远程工作人员 | 
| 安全级别 | 基于网络，依赖 IP 信任 | 加密凭证，有时间限制 | 
| 管理复杂性 | 简单的 IP 范围管理 | 代币生命周期和分发 | 
| 协议支持 | Do53、DoT、DoH | 美国交通部，仅限卫生部 | 

您可以同时使用这两种方法来创建分层安全。例如，将访问源用于办公网络，将令牌用于远程工作者。