本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 存取控制最佳實務和安全考量
<a name="gr-access-control-best-practices"></a>

遵循這些最佳實務，為您的 Route 53 Global Resolver 基礎設施維護安全且有效的存取控制。

## 安全最佳實務
<a name="gr-security-best-practices"></a>

實作這些安全措施來保護您的 DNS 基礎設施：
+ **使用分層身分驗證** - 結合受信任網路的存取來源與行動使用者的字符。此方法提供深度防禦，並適應不同的用戶端案例。
+ **實作最低權限存取** - 僅授予存取用戶端實際需要的 IP 範圍和通訊協定。避免過於廣泛的存取來源規則，這些規則可能會讓您的基礎設施遭到未經授權的使用。
+ **定期輪換權杖** - 定期替換存取權杖，即使在過期之前也是如此。此實務會限制洩露字符的影響，並維護安全衛生。
+ **監控存取模式** - 檢閱 DNS 查詢日誌，以識別不尋常的存取模式或潛在的安全問題。設定來自非預期 IP 範圍或使用過期權杖的查詢提醒。

## 操作最佳實務
<a name="gr-operational-best-practices"></a>

遵循這些操作實務來維護可靠的存取控制：
+ **記錄您的存取控制策略** - 維護明確的文件，說明哪些存取來源和字符適用於哪些用戶端群組。
+ **定期測試存取控制** - 驗證您的存取來源規則和字符是否從不同的用戶端位置和案例正確運作。
+ **規劃權杖續約** - 建立在舊權杖過期之前分發新權杖的程序，以避免服務中斷。
+ **定期檢閱存取控制** - 移除未使用的存取來源規則和過期的字符，以維持乾淨的組態。