Best Practices für die Sicherheit in Amazon MQ - Amazon MQ
Broker ohne öffentlichen Zugriff bevorzugenImmer eine Autorisierungszuordnung konfigurierenBlockieren unnötiger Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Best Practices für die Sicherheit in Amazon MQ

Die folgenden Entwurfsmuster können die Sicherheit Ihres Amazon MQ-Broker verbessern.

Weitere Informationen dazu, wie Amazon MQ Ihre Daten verschlüsselt, sowie eine Liste der unterstützten Protokolle finden Sie unterDatenschutz.

Broker ohne öffentlichen Zugriff bevorzugen

Für Broker ohne öffentliche Zugänglichkeit ist kein Zugriff von außerhalb Ihrer VPC möglich. Dies reduziert die Anfälligkeit Ihres Brokers für DDoS-Angriffe (Distributed Denial of Service) aus dem öffentlichen Internet ganz wesentlich. Weitere Informationen finden Sie unter Zugreifen auf die Webkonsole eines Brokers ohne öffentliche Zugänglichkeit in diesem Handbuch und unter Vorbereitung auf DDoS-Angriffe durch die Verringerung der Angriffsfläche im AWS-Blog zur Sicherheit.

Immer eine Autorisierungszuordnung konfigurieren

Da für ActiveMQ standardmäßig keine Autorisierungszuordnung konfiguriert ist, kann jeder authentifizierte Benutzer eine Aktion auf dem Broker ausführen. Daher ist es eine bewährte Methode, Berechtigungen nach Gruppe einzuschränken. Weitere Informationen finden Sie unter authorizationEntry.

Wichtig

Wenn Sie eine Autorisierungszuordnung angeben, die dieactivemq-webconsolekönnen Sie die ActiveMQ Webkonsole nicht verwenden, da die Gruppe nicht berechtigt ist, Nachrichten an den Amazon MQ -Broker zu senden oder von ihm Nachrichten zu empfangen.

Unnötige Protokolle mit VPC-Sicherheitsgruppen bockieren

Um die Sicherheit zu erhöhen, sollten Sie die Verbindungen von unnötigen Protokolle und Ports, indem Sie Ihre Amazon VPC-Sicherheitsgruppe ordnungsgemäß konfigurieren. Beispielsweise können Sie zur Einschränkung des Zugriffs auf die meisten Protokolle bei gleichzeitiger Gewährung des Zugriffs zu OpenWire und zur Webkonsole den Zugriff lediglich auf 61617 und 8162 erlauben. Dies begrenzt Gefahren durch die Blockierung von Protokollen, die Sie nicht verwenden, während OpenWire und die Webkonsole normal funktionieren können.

Erlauben Sie nur die Protokoll-Ports, die Sie verwenden.

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

Weitere Informationen finden Sie unter: