Prácticas recomendadas de seguridad para Amazon MQ - Amazon MQ
Preferir agentes sin accesibilidad públicaConfigurar siempre una asignación de autorizacionesBloqueo de protocolos innecesarios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad para Amazon MQ

Los siguientes patrones de diseño pueden mejorar la seguridad de su agente de Amazon MQ.

Para obtener más información acerca de cómo Amazon MQ cifra sus datos, así como una lista de protocolos compatibles, consulte el tema sobre protección de datos.

Preferir agentes sin accesibilidad pública

A los agentes creados sin acceso público no se puede obtener acceso desde fuera de la VPC. Esto reduce enormemente la susceptibilidad del agente a ataques de denegación distribuida del servicio (DDoS) de la Internet pública. Para obtener más información, consulte Acceso a la consola web de Amazon MQ Broker sin accesibilidad pública en esta guía y la entrada sobre cómo prepararse para los ataques DDoS reduciendo la superficie expuesta a ataques en el blog de seguridad de AWS.

Configurar siempre una asignación de autorizaciones

Debido a que ActiveMQ no tiene configurada ninguna asignación de autorizaciones, cualquier usuario autenticado puede llevar a cabo cualquier acción en el agente. Por lo tanto, la práctica recomendada consiste en restringir los permisos por grupo. Para obtener más información, consulte authorizationEntry.

importante

Si especifica un mapa de autorizaciones que no incluya al grupo activemq-webconsole, no puede utilizar la consola web de ActiveMQ porque el grupo no está autorizado a enviar mensajes al agente de Amazon MQ ni para recibir mensajes de este.

Bloqueo de protocolos innecesarios con grupos de seguridad de VPC

Para mejorar la seguridad, debe restringir las conexiones de los protocolos y puertos innecesarios configurando correctamente el grupo de seguridad de Amazon VPC. Por ejemplo, para restringir el acceso a la mayoría de los protocolos y permitir el acceso a OpenWire y a la consola web, puede permitir el acceso únicamente a 61617 y 8162. De este modo, limitaría su exposición mediante el bloqueo de los protocolos que no están en uso y permitiría que OpenWire y la consola web funcionaran normalmente.

Permita únicamente los puertos de los protocolos que esté utilizando.

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

Para obtener más información, consulte: