Bonnes pratiques de sécurité pour Amazon MQ - Amazon MQ
Préférer les agents sans accessibilité publiqueToujours configurer un plan d'autorisationBloquer les protocoles inutiles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité pour Amazon MQ

Les modèles de conception suivants peuvent améliorer la sécurité de votre agent Amazon MQ.

Pour plus d'informations sur la façon dont Amazon MQ chiffre vos données, ainsi que sur la liste des protocoles pris en charge, consultez Protection des données.

Préférer les agents sans accessibilité publique

Les agents créés sans accessibilité publique ne sont pas accessibles depuis l'extérieur de votre VPC. Cela réduit considérablement la sensibilité de votre agent aux attaques par déni de service distribué (DDoS) à partir de l'Internet public. Pour plus d'informations, consultez Accès à la console web d'un agent sans accès public dans ce guide et How to Help Prepare for DDoS Attacks by Reducing Your Attack Surface (Comment vous aider à vous préparer contre les attaques DDoS en réduisant votre surface d'attaque) sur le blog AWS consacré à la sécurité.

Toujours configurer un plan d'autorisation

Étant donné qu'aucun plan d'autorisation n'est configuré pour ActiveMQ par défaut, tout utilisateur authentifié peut effectuer n'importe quelle action sur l'agent. Ainsi, une bonne pratique consiste à limiter les autorisations par groupe. Pour de plus amples informations, consultez authorizationEntry.

Important

Si vous spécifiez un plan d'autorisation qui n'inclut pas le groupe activemq-webconsole, vous ne pouvez pas utiliser la console web ActiveMQ car le groupe n'est pas autorisé à envoyer des messages à l'agent Amazon MQ ou à recevoir des messages de ce dernier.

Bloquer les protocoles inutiles avec des groupes de sécurité VPC

Pour améliorer la sécurité, vous devez limiter les connexions des protocoles et ports inutiles en configurant correctement votre groupe de sécurité Amazon VPC. Par exemple, pour restreindre l'accès à la plupart des protocoles tout en autorisant l'accès à OpenWire et à la console web, vous pouvez autoriser l'accès à 61617 et 8162 uniquement. Vous limitez ainsi votre exposition en bloquant les protocoles que vous n'utilisez pas tout en permettant à OpenWire et à la console web de fonctionner normalement.

Autorisez uniquement les ports de protocole que vous utilisez.

  • AMQP : 5671

  • MQTT : 8883

  • OpenWire : 61617

  • STOMP : 61614

  • WebSocket : 61619

Pour plus d'informations, consultez :