本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 应用程序安全注意事项
<a name="app-security"></a>

应用程序安全性包括考虑应用程序需要哪些权限才能运行、哪些防火墙规则、应启用哪些 IAM 角色才能访问应用程序。

要更好地了解一般 AWS 安全性，[请参阅安全、身份和合规性最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)。

## 配置管理访问权限
<a name="access-config-mgmt"></a>

AWS Managed Services (AMS) 力求为您提供无忧的基础设施，因此您不必担心安全问题、修补问题、备份问题等。为此，AMS 建议使用最少的 IAM 角色，仅允许特定组或主服务器（如果使用应用程序部署工具）访问运行您的应用程序的实例。

## 应用程序访问防火墙规则
<a name="app-access-fw-rules"></a>

就像操作系统 (OS) 一样，所有应用程序访问都应使用活动目录 (AD) 组进行管理。以 Amazon Relational Database Service（Amazon RDS）为例，您必须打破镜像（复制）才能添加新用户。最好的方法是在 AD 中创建一个群组，并在创建数据库时将其添加。在 AMS AD 中拥有群组意味着您可以 CTs 为应用程序访问创建群组。有关 AD 的官方分组策略的信息，请参阅[使用群组嵌套策略-群组策略的 AD 最佳实践](http://blogs.msmvps.com/acefekay/2012/01/06/using-group-nesting-strategy-ad-best-practices-for-group-strategy/)。

要了解有关域树和域名的更多信息，请参阅 parent/child 域[和域名林的工作原理](https://technet.microsoft.com/en-us/library/cc783351%28v=ws.10%29.aspx)。

以下规则说明了适用于用户位于子域中的多域林信任的解决方案。