Datenschutz in Amazon MQ

Das AWS Modell der übergreifenden Verantwortlichkeit gilt für den Datenschutz in Amazon MQ. Wie in diesem Modell beschrieben, ist AWS verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS-Modell der geteilten Verantwortung und in der DSGVO im AWS-Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

• Verwenden Sie für jedes Konto die Multi-Faktor Authentifizierung (MFA).

• Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

• Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein.

• Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

• Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

• Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon MQ oder anderen AWS-Services über die Konsole, API, AWS CLI oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Für sowohl Amazon MQ für ActiveMQ als auch für Amazon MQ für RabbitMQ verwenden Broker keine persönlich identifizierbare Informationen (PII) oder andere vertrauliche oder sensible Informationen für die Brokernamen oder Benutzernamen, wenn Sie Ressourcen über die Broker-Webkonsole oder die Amazon-MQ-API erstellen. Brokernamen und Benutzernamen sind für andere AWS-Services zugänglich, einschließlich CloudWatch Logs. Broker-Benutzernamen sind nicht für private oder sensible Daten gedacht.

Verschlüsselung

Die in Amazon MQ gespeicherten Benutzerdaten werden im Ruhezustand verschlüsselt. Die Amazon MQ-Verschlüsselung im Ruhezustand bietet eine erhöhte Sicherheit, indem Ihre Daten mit Hilfe von Verschlüsselungsschlüsseln verschlüsselt werden, die im AWS Key Management Service (KMS) gespeichert sind. Dieser Service reduziert den Betriebsaufwand für den Schutz sensibler Daten sowie die Komplexität. Mit der Verschlüsselung von Daten im Ruhezustand können Sie sicherheitsrelevante Anwendungen erstellen, die Verschlüsselungsvorschriften und gesetzliche Bestimmungen einhalten.

Alle Verbindungen zwischen Amazon MQ-Brokern verwenden Transport Layer Security (TLS) zur Verschlüsselung während der Übertragung.

Amazon MQ verschlüsselt Nachrichten im Ruhezustand und unterwegs mit Verschlüsselungsschlüsseln, die es sicher verwaltet und speichert. Weitere Informationen finden Sie im AWS Encryption SDK-Entwicklerhandbuch.

Verschlüsselung im Ruhezustand

Amazon MQ wird in AWS Key Management Service (KMS) integriert, um transparente Server-seitige Verschlüsselung zu ermöglichen. Amazon MQ verschlüsselt Ihre Daten im Ruhezustand stets.

Wenn Sie einen Broker für Amazon MQ for ActiveMQ oder einen Broker für Amazon MQ for RabbitMQ erstellen können Sie den AWS KMS key angeben mit dem Amazon MQ Ihre ruhenden Daten verschlüsseln soll. Wenn Sie keinen KMS-Schlüssel angeben, erstellt Amazon MQ einen KMS-Schlüssel im Besitz von AWS für Sie und verwendet ihn in Ihrem Namen. Amazon MQ unterstützt derzeit symmetrische KMS-Schlüssel. Weitere Informationen zu KMS-Schlüsseln finden Sie unter AWS KMS keys.

Beim Erstellen eines Brokers können Sie durch Auswahl einer der folgenden Optionen konfigurieren, was Amazon MQ als Verschlüsselungsschlüssel verwendet.

• Amazon MQ owned KMS key (default) (Amazon-MQ-eigener KMS-Schlüssel (Standard)) – Der Schlüssel ist Eigentum von Amazon MQ und wird von diesem verwaltet. Er befindet sich nicht in Ihrem Konto.

• Von AWS verwalteter KMS-Schlüssel: Der von AWS verwaltete KMS-Schlüssel (aws/mq) ist ein KMS-Schlüssel in Ihrem Konto, der von Amazon MQ für Sie erstellt, verwaltet und verwendet wird.

• Select existing customer managed KMS key (Vorhandenen, vom Kunden verwalteten KMS-Schlüssel auswählen) – Vom Kunden verwaltete KMS-Schlüssel werden von Ihnen in AWS Key Management Service (KMS) erstellt und verwaltet.

Wichtig

• Das Widerrufen einer Berechtigung kann nicht rückgängig gemacht werden. Stattdessen empfehlen wir, den Broker zu löschen, wenn Sie Zugriffsrechte widerrufen müssen.

• Bei Brokern für Amazon MQ for ActiveMQ, die Amazon Elastic File System (EFS) zum Speichern von Nachrichtendaten verwenden, gilt: wenn Sie Amazon EFS die Berechtigung zum Verwenden der KMS-Schlüssel in Ihrem Konto entziehen, erfolgt dies nicht sofort.

• Bei Brokern für Amazon MQ for RabbitMQ und Amazon MQ for ActiveMQ, die EBS zum Speichern von Nachrichtendaten verwenden, gilt: wenn Sie Amazon EBS die Berechtigung zum Verwenden der KMS-Schlüssel in Ihrem Konto entziehen, kann Amazon MQ Ihren Broker nicht mehr verwalten und er wechselt möglicherweise in einen degradierten Zustand.

• Wenn Sie den Schlüssel deaktiviert oder das Löschen des Schlüssels geplant haben, können Sie den Schlüssel erneut aktivieren oder das Löschen des Schlüssels abbrechen und Ihren Broker weiter verwalten.

• Das Deaktivieren eines Schlüssels oder das Widerrufen einer Berechtigung erfolgt nicht sofort.

Wenn Sie einen Single-Instance-Broker mit einem KMS-Schlüssel für RabbitMQ erstellen, werden zwei CreateGrant-Ereignisse in AWS CloudTrail protokolliert. Das erste Ereignis ist das Erstellen einer Erteilung für den KMS-Schlüssel durch Amazon MQ. Das zweite Ereignis ist das Erstellen einer Erteilung zur Nutzung durch EBS.

AWS CloudTrail-Protokolleintrag CreateGrant: Single-Instance-Broker

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
                    

EBS grant creation

Sie sehen ein Ereignis für das Erstellen der EBS-Erteilung.

                                    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
                                

Wenn Sie eine Cluster-Bereitstellung mit einem KMS-Schlüssel für RabbitMQ erstellen, werden fünf CreateGrant-Ereignisse in AWS CloudTrail protokolliert. Bei den ersten beiden Ereignissen handelt es sich um das Erstellen von Erteilungen für Amazon MQ. Bei den anderen drei Ereignissen handelt es sich um Erteilungen, die von EBS zur eigenen Nutzung erstellt wurden.

AWS CloudTrail-Protokolleintrag CreateGrant: Cluster-Bereitstellung

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Encrypt",
            "Decrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
                    

mq_rabbit_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
                    

EBS grant creation

Sie sehen drei Ereignisse für das Erstellen der EBS-Erteilung.

                                      {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
                                

Weitere Informationen zum Verwenden von CMK-Schlüssel finden AWS KMS keysSie im AWS Key Management ServiceEntwicklerhandbuch.

Verschlüsselung während der Übertragung

Amazon MQ for ActiveMQ: Amazon MQ for ActiveMQ erfordert eine starke Transport Layer Security (TLS) und verschlüsselt Daten während der Übertragung zwischen den Brokern der Amazon-MQ-Bereitstellung. Alle Daten, die zwischen Amazon MQ-Brokern übertragen werden, werden mittels starker Transport Layer Security (TLS) verschlüsselt. Dies gilt für alle verfügbaren Protokolle.

Amazon MQ for RabbitMQ: Amazon MQ für RabbitMQ erfordert eine starke Verschlüsselung mit Transport Layer Security (TLS) für alle Client-Verbindungen. Der RabbitMQ-Cluster-Replikationsverkehr überträgt nur die VPC Ihres Brokers. Der gesamte Netzwerkverkehr zwischen AWS-Rechenzentren wird auf der physischen Ebene transparent verschlüsselt. Die geclusterten Broker von Amazon MQ für RabbitMQ unterstützen derzeit keine knotenübergreifende Verschlüsselung für die Cluster-Replikation. Weitere Informationen zur Daten während der Übertragung finden Sie unter Verschlüsseln von Daten in Ruhe und während der Übertragung.

Amazon MQ für ActiveMQ Protokolle

Sie können über die folgenden Protokolle mit aktiviertem TLS auf Ihre ActiveMQ-Broker zugreifen:

• AMQP

• MQTT

• MQTT über WebSocket

• OpenWire

• STOMP

• STOMP über WebSocket

Unterstützte TLS-Cipher-Suites für ActiveMQ

ActiveMQ auf Amazon MQ unterstützt die folgenden Verschlüsselungs-Suiten:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_256_GCM_SHA384

• TLS_RSA_WITH_AES_256_CBC_SHA256

• TLS_RSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA

Amazon MQ für RabbitMQ-Protokolle

Sie können auf Ihre RabbitMQ-Broker zugreifen, indem Sie die folgenden Protokolle mit aktiviertem TLS verwenden:

• AMQP (0-9-1)

Unterstützte TLS-Cipher-Suites für RabbitMQ

RabbitMQ auf Amazon MQ unterstützt die folgenden Verschlüsselungs-Suiten:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256