Perlindungan data di Amazon MQ

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon MQ. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

• Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

• Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

• Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

• Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

• Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

• Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Amazon MQ atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Untuk Amazon MQ untuk ActiveMQ dan Amazon MQ untuk broker RabbitMQ, jangan gunakan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya untuk nama broker atau nama pengguna saat membuat sumber daya melalui konsol web broker, atau Amazon MQ API. Nama broker dan nama pengguna dapat diakses oleh AWS layanan lain, termasuk CloudWatch Log. Nama pengguna broker tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

Enkripsi

Data pengguna yang disimpan di Amazon MQ dienkripsi saat istirahat. Enkripsi Amazon MQ saat istirahat memberikan keamanan yang ditingkatkan dengan mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan di AWS Key Management Service (KMS). Layanan ini membantu mengurangi beban operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Dengan enkripsi saat istirahat, Anda dapat membangun aplikasi yang sensitif terhadap keamanan yang memenuhi persyaratan kepatuhan enkripsi dan peraturan.

Semua koneksi antara broker Amazon MQ menggunakan Keamanan Lapisan Pengangkutan (TLS) untuk memberikan enkripsi dalam transit.

Amazon MQ mengenkripsi pesan saat istirahat dan dalam transit menggunakan kunci enkripsi yang dikelola dan disimpan dengan aman. Untuk informasi selengkapnya, lihat Panduan Developer AWS Encryption SDK.

Enkripsi diam

Amazon MQ terintegrasi dengan AWS Key Management Service (KMS) untuk menawarkan enkripsi sisi server yang transparan. Amazon MQ selalu mengenkripsi data at rest.

Saat Anda membuat Amazon MQ untuk broker ActiveMQ atau Amazon MQ untuk broker RabbitMQ, Anda dapat menentukan yang Anda AWS KMS key ingin Amazon MQ gunakan untuk mengenkripsi data Anda saat istirahat. Jika Anda tidak menentukan kunci KMS, Amazon MQ membuat kunci KMS AWS yang dimiliki untuk Anda dan menggunakannya atas nama Anda. Amazon MQ saat ini mendukung kunci KMS simetris. Untuk informasi selengkapnya tentang kunci KMS, lihat AWS KMS keys.

Saat membuat broker, Anda dapat mengonfigurasi kunci yang digunakan Amazon MQ untuk kunci enkripsi Anda dengan memilih salah satu kunci berikut.

• Kunci KMS milik Amazon MQ (default) - Kunci dimiliki dan dikelola oleh Amazon MQ dan tidak ada di akun Anda.

• AWS kunci KMS AWS terkelola - Kunci KMS terkelola (aws/mq) adalah kunci KMS di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh Amazon MQ.

• Pilih kunci KMS yang ada dan dikelola pelanggan — Kunci KMS yang dikelola pelanggan dibuat dan dikelola oleh Anda di AWS Key Management Service (KMS).

penting

• Mencabut hibah tidak dapat dibatalkan. Sebagai gantinya, kami sarankan untuk menghapus broker jika Anda perlu mencabut hak akses.

• Untuk Amazon MQ untuk broker ActiveMQ yang menggunakan Amazon Elastic File System (EFS) untuk menyimpan data pesan, jika Anda mencabut hibah yang memberikan izin Amazon EFS untuk menggunakan kunci KMS di akun Anda, itu tidak akan segera terjadi.

• Untuk Amazon MQ untuk RabbitMQ dan Amazon MQ untuk broker ActiveMQ yang menggunakan EBS untuk menyimpan data pesan, jika Anda menonaktifkan, menjadwalkan penghapusan, atau mencabut hibah yang memberikan izin Amazon EBS untuk menggunakan kunci KMS di akun Anda, Amazon MQ tidak dapat mempertahankan broker Anda, dan dapat berubah menjadi status terdegradasi.

• Jika Anda telah menonaktifkan kunci atau menjadwalkan kunci yang akan dihapus, Anda dapat mengaktifkan kembali kunci atau membatalkan penghapusan kunci dan menjaga agar broker Anda tetap terjaga.

• Menonaktifkan kunci atau mencabut hibah tidak akan segera dilakukan.

Saat membuat broker instans tunggal dengan kunci KMS untuk RabbitMQ, Anda akan melihat dua CreateGrant peristiwa masuk. AWS CloudTrail Acara pertama adalah Amazon MQ yang membuat hibah untuk kunci KMS. Acara kedua adalah EBS membuat hibah untuk EBS untuk digunakan.

CreateGrant AWS CloudTrail entri log: broker contoh tunggal

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
                    

EBS grant creation

Anda akan melihat satu acara untuk pembuatan hibah EBS.

                                    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
                                

Saat membuat penerapan cluster dengan kunci KMS untuk RabbitMQ, Anda akan melihat lima peristiwa yang masuk. CreateGrant AWS CloudTrail Dua acara pertama adalah kreasi hibah untuk Amazon MQ. Tiga acara berikutnya adalah hibah yang dibuat oleh EBS untuk digunakan EBS.

CreateGrant AWS CloudTrail entri log: penyebaran cluster

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Encrypt",
            "Decrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
                    

mq_rabbit_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
                    

EBS grant creation

Anda akan melihat tiga acara untuk pembuatan hibah EBS.

                                      {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
                                

Untuk informasi selengkapnya tentang kunci KMS, lihat AWS KMS keys dalam Panduan Developer AWS Key Management Service .

Enkripsi bergerak

Amazon MQ untuk ActiveMQ: Amazon MQ untuk ActiveMQ memerlukan Transport Layer Security (TLS) yang kuat dan mengenkripsi data dalam perjalanan antara broker penyebaran Amazon MQ Anda. Semua data yang lewat antara broker Amazon MQ dienkripsi menggunakan Transport Layer Security (TLS) yang kuat. Ini berlaku untuk semua protokol yang tersedia.

Amazon MQ untuk RabbitMQ: Amazon MQ untuk RabbitMQ memerlukan enkripsi Transport Layer Security (TLS) yang kuat untuk semua koneksi klien. Lalu lintas replikasi cluster RabbitMQ hanya transit VPC broker Anda dan semua lalu lintas jaringan antara pusat AWS data dienkripsi secara transparan pada lapisan fisik. Amazon MQ untuk broker berkerumun RabbitMQ saat ini tidak mendukung enkripsi antar-node untuk replikasi cluster. Untuk mempelajari selengkapnya data-in-transit, lihat Mengenkripsi Data-at-Rest dan -Dalam Transit.

Protokol Amazon MQ for ActiveMQ

Anda dapat mengakses broker ActiveMQ menggunakan protokol berikut dengan TLS yang diaktifkan:

• AMQP

• MQTT

• MQTT lebih WebSocket

• OpenWire

• MENGINJAK

• STOMP berakhir WebSocket

Cipher Suite TLS yang didukung untuk ActiveMQ

ActiveMQ di Amazon MQ mendukung cipher suite berikut:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_DHE_RSA_WITH_AES_256_GCM_ SHA384

• TLS_DHE_RSA_DENGAN_AES_256_CBC_ SHA256

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_256_GCM_ SHA384

• TLS_RSA_WITH_AES_256_CBC_ SHA256

• TLS_RSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_DHE_RSA_WITH_AES_128_GCM_ SHA256

• TLS_DHE_RSA_DENGAN_AES_128_CBC_ SHA256

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_128_GCM_ SHA256

• TLS_RSA_WITH_AES_128_CBC_ SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA

Protokol Amazon MQ for RabbitMQ

Anda dapat mengakses broker RabbitMQ menggunakan protokol berikut dengan TLS yang diaktifkan:

• AMQP (0-9-1)

Cipher Suite TLS yang didukung untuk RabbitMQ

RabbitMQ di Amazon MQ mendukung cipher suite berikut:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384

• TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256