本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 應用程式安全考量
<a name="app-security"></a>

應用程式安全性包括考量應用程式需要執行哪些許可、防火牆規則、應啟用哪些 IAM 角色才能存取應用程式。

若要進一步了解一般 AWS 安全性，請參閱[安全性、身分和合規的最佳實務](https://aws.amazon.com/architecture/security-identity-compliance/)。

## 組態管理的存取權
<a name="access-config-mgmt"></a>

AWS Managed Services (AMS) 致力於為您提供輕鬆的基礎設施，讓您不必擔心安全問題、修補問題、備份問題等。若要這樣做，AMS 建議將 IAM 角色降至最低，如果使用應用程式部署工具，則僅允許特定群組或主伺服器存取執行您應用程式的執行個體。

## 應用程式存取防火牆規則
<a name="app-access-fw-rules"></a>

如同作業系統 (OS)，所有應用程式存取都應該使用 Active Directory (AD) 群組進行管理。使用 Amazon Relational Database Service (Amazon RDS) 作為範例，您必須破壞鏡像 （複寫） 以新增使用者。最佳方法是在 AD 中建立群組，並在資料庫建立時新增群組。在 AMS AD 中擁有群組意味著您可以建立 CTs以進行應用程式存取。如需 AD 官方分組策略的資訊，請參閱[使用群組巢狀策略 – 群組策略的 AD 最佳實務](http://blogs.msmvps.com/acefekay/2012/01/06/using-group-nesting-strategy-ad-best-practices-for-group-strategy/)。

若要進一步了解網域樹狀目錄和父/子網域，請參閱[網域和樹系的運作方式](https://technet.microsoft.com/en-us/library/cc783351%28v=ws.10%29.aspx)。

下列規則說明適合與位於子網域中的使用者進行多網域樹系信任的解決方案。