本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

应用程序安全注意事项

应用程序安全性包括考虑应用程序需要哪些权限才能运行、哪些防火墙规则、应启用哪些 IAM 角色才能访问应用程序。

要更好地了解一般 AWS 安全性，请参阅安全、身份和合规性最佳实践。

配置管理访问权限

AWS Managed Services (AMS) 力求为您提供无忧的基础设施，因此您不必担心安全问题、修补问题、备份问题等。为此，AMS 建议使用最少的 IAM 角色，仅允许特定组或主服务器（如果使用应用程序部署工具）访问运行您的应用程序的实例。

应用程序访问防火墙规则

就像操作系统 (OS) 一样，所有应用程序访问都应使用活动目录 (AD) 组进行管理。以 Amazon Relational Database Service（Amazon RDS）为例，您必须打破镜像（复制）才能添加新用户。最好的方法是在 AD 中创建一个群组，并在创建数据库时将其添加。在 AMS AD 中拥有群组意味着您可以 CTs 为应用程序访问创建群组。有关 AD 的官方分组策略的信息，请参阅使用群组嵌套策略-群组策略的 AD 最佳实践。

要了解有关域树和域名的更多信息，请参阅 parent/child 域和域名林的工作原理。

以下规则说明了适用于用户位于子域中的多域林信任的解决方案。