Bonnes pratiques de sécurité pour Amazon MQ - Amazon MQ
Préférer les agents sans accessibilité publiqueToujours configurer un plan d'autorisationBloquer les protocoles inutiles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité pour Amazon MQ

Les modèles de conception suivants peuvent améliorer la sécurité de votre agent Amazon MQ.

Pour plus d'informations sur la façon dont Amazon MQ chiffre vos données, ainsi que sur la liste des protocoles pris en charge, consultez Protection des données.

Préférer les agents sans accessibilité publique

Les agents créés sans accessibilité publique ne sont pas accessibles depuis l'extérieur de votre VPC. Cela réduit considérablement la vulnérabilité de votre courtier aux attaques par déni de service (DDoS) distribué provenant de l'Internet public. Pour plus d'informations, consultez Comment vous préparer aux attaques DDo S en réduisant votre surface d'attaque sur le blog consacré à la AWS sécurité.

Toujours configurer un plan d'autorisation

Étant donné qu'aucun plan d'autorisation n'est configuré pour ActiveMQ par défaut, tout utilisateur authentifié peut effectuer n'importe quelle action sur l'agent. Ainsi, une bonne pratique consiste à limiter les autorisations par groupe. Pour de plus amples informations, veuillez consulter authorizationEntry.

Important

Si vous spécifiez un plan d'autorisation qui n'inclut pas le groupe activemq-webconsole, vous ne pouvez pas utiliser la console web ActiveMQ car le groupe n'est pas autorisé à envoyer des messages à l'agent Amazon MQ ou à recevoir des messages de ce dernier.

Bloquer les protocoles inutiles avec des groupes de sécurité VPC

Pour améliorer la sécurité des courtiers privés, vous devez limiter les connexions de protocoles et de ports inutiles en configurant correctement votre groupe de sécurité Amazon VPC. Par exemple, pour restreindre l'accès à la plupart des protocoles tout en autorisant l'accès à la console Web OpenWire et à celle-ci, vous pouvez autoriser l'accès uniquement aux protocoles 61617 et 8162. Cela limite votre exposition en bloquant les protocoles que vous n'utilisez pas, tout en permettant OpenWire à la console Web de fonctionner normalement.

Autorisez uniquement les ports de protocole que vous utilisez.

  • AMQP : 5671

  • MQTT : 8883

  • OpenWire: 61617

  • STOMP : 61614

  • WebSocket: 61619

Pour plus d'informations, consultez :