Perlindungan data di Amazon MQ - Amazon MQ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon MQ

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon MQ. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Amazon MQ atau lainnya Layanan AWS menggunakan konsol,, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Untuk Amazon MQ untuk ActiveMQ dan Amazon MQ untuk broker RabbitMQ, jangan gunakan informasi identitas pribadi () atau PII informasi rahasia atau sensitif lainnya untuk nama broker atau nama pengguna saat membuat sumber daya melalui konsol web broker, atau Amazon MQ. API Nama broker dan nama pengguna dapat diakses oleh AWS layanan lain, termasuk CloudWatch Log. Nama pengguna broker tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

Enkripsi

Data pengguna yang disimpan di Amazon MQ dienkripsi saat istirahat. Enkripsi Amazon MQ saat istirahat memberikan keamanan yang ditingkatkan dengan mengenkripsi data Anda menggunakan kunci enkripsi yang disimpan di (). AWS Key Management Service KMS Layanan ini membantu mengurangi beban operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Dengan enkripsi saat istirahat, Anda dapat membangun aplikasi yang sensitif terhadap keamanan yang memenuhi persyaratan kepatuhan enkripsi dan peraturan.

Semua koneksi antara broker Amazon MQ menggunakan Transport layer Security (TLS) untuk menyediakan enkripsi dalam perjalanan.

Amazon MQ mengenkripsi pesan saat istirahat dan dalam transit menggunakan kunci enkripsi yang dikelola dan disimpan dengan aman. Untuk informasi selengkapnya, lihat Panduan Developer AWS Encryption SDK.

Enkripsi diam

Amazon MQ terintegrasi dengan AWS Key Management Service (KMS) untuk menawarkan enkripsi sisi server yang transparan. Amazon MQ selalu mengenkripsi data at rest.

Saat Anda membuat Amazon MQ untuk broker ActiveMQ atau Amazon MQ untuk broker RabbitMQ, Anda dapat menentukan yang Anda AWS KMS key ingin Amazon MQ gunakan untuk mengenkripsi data Anda saat istirahat. Jika Anda tidak menentukan KMS kunci, Amazon MQ membuat KMS kunci yang AWS dimiliki untuk Anda dan menggunakannya atas nama Anda. Amazon MQ saat ini mendukung kunci simetrisKMS. Untuk informasi selengkapnya tentang KMS kunci, lihat AWS KMS keys.

Saat membuat broker, Anda dapat mengonfigurasi kunci yang digunakan Amazon MQ untuk kunci enkripsi Anda dengan memilih salah satu kunci berikut.

  • KMSKunci milik Amazon MQ (default) — Kunci dimiliki dan dikelola oleh Amazon MQ dan tidak ada di akun Anda.

  • AWS KMSkunci AWS terkelola — KMS Kunci terkelola (aws/mq) adalah KMS kunci di akun Anda yang dibuat, dikelola, dan digunakan atas nama Anda oleh Amazon MQ.

  • Pilih KMS kunci terkelola pelanggan yang ada — KMS Kunci terkelola pelanggan dibuat dan dikelola oleh Anda di AWS Key Management Service (KMS).

penting
  • Mencabut hibah tidak dapat dibatalkan. Sebagai gantinya, kami sarankan untuk menghapus broker jika Anda perlu mencabut hak akses.

  • Untuk Amazon MQ untuk broker ActiveMQ yang menggunakan Amazon Elastic File System (EFS) untuk menyimpan data pesan, jika Anda mencabut hibah yang memberikan izin EFS Amazon untuk menggunakan kunci di akun Anda, KMS itu tidak akan segera terjadi.

  • Untuk Amazon MQ untuk RabbitMQ dan Amazon MQ untuk broker ActiveMQ EBS yang digunakan untuk menyimpan data pesan, jika Anda menonaktifkan, menjadwalkan penghapusan, atau mencabut hibah yang memberikan EBS izin Amazon untuk menggunakan KMS kunci di akun Anda, Amazon MQ tidak dapat mempertahankan broker Anda, dan itu dapat berubah menjadi keadaan terdegradasi.

  • Jika Anda telah menonaktifkan kunci atau menjadwalkan kunci yang akan dihapus, Anda dapat mengaktifkan kembali kunci atau membatalkan penghapusan kunci dan menjaga agar broker Anda tetap terjaga.

  • Menonaktifkan kunci atau mencabut hibah tidak akan segera dilakukan.

Saat membuat broker instans tunggal dengan KMS kunci untuk RabbitMQ, Anda akan melihat dua CreateGrant peristiwa masuk. AWS CloudTrail Acara pertama adalah Amazon MQ yang membuat hibah untuk kuncinya. KMS Acara kedua adalah EBS membuat hibah EBS untuk digunakan.

mq_grant
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "userName": "AmazonMqConsole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-02-23T18:59:10Z", "mfaAuthenticated": "false" } }, "invokedBy": "mq.amazonaws.com" }, "eventTime": "2018-06-28T22:23:46Z", "eventSource": "amazonmq.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.0", "userAgent": "PostmanRuntime/7.1.5", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2", "retiringPrincipal": "mq.amazonaws.com", "operations": [ "CreateGrant", "Decrypt", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "DescribeKey" ] }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
EBS grant creation

Anda akan melihat satu acara untuk penciptaan EBS hibah.

{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "mq.amazonaws.com" }, "eventTime": "2023-02-23T19:09:40Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "mq.amazonaws.com", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "constraints": { "encryptionContextSubset": { "aws:ebs:id": "vol-0b670f00f7d5417c0" } }, "operations": [ "Decrypt" ], "retiringPrincipal": "ec2.us-east-1.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventCategory": "Management" }

Saat membuat penerapan cluster dengan KMS kunci untuk RabbitMQ, Anda akan melihat lima CreateGrant peristiwa masuk. AWS CloudTrail Dua acara pertama adalah kreasi hibah untuk Amazon MQ. Tiga acara berikutnya adalah hibah yang dibuat oleh EBS EBS untuk digunakan.

mq_grant
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "userName": "AmazonMqConsole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-02-23T18:59:10Z", "mfaAuthenticated": "false" } }, "invokedBy": "mq.amazonaws.com" }, "eventTime": "2018-06-28T22:23:46Z", "eventSource": "amazonmq.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.0", "userAgent": "PostmanRuntime/7.1.5", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2", "retiringPrincipal": "mq.amazonaws.com", "operations": [ "CreateGrant", "Encrypt", "Decrypt", "ReEncryptFrom", "ReEncryptTo", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "DescribeKey" ] }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
mq_rabbit_grant
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "userName": "AmazonMqConsole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-02-23T18:59:10Z", "mfaAuthenticated": "false" } }, "invokedBy": "mq.amazonaws.com" }, "eventTime": "2018-06-28T22:23:46Z", "eventSource": "amazonmq.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.0", "userAgent": "PostmanRuntime/7.1.5", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "retiringPrincipal": "mq.amazonaws.com", "operations": [ "DescribeKey" ], "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
EBS grant creation

Anda akan melihat tiga acara untuk penciptaan EBS hibah.

{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "mq.amazonaws.com" }, "eventTime": "2023-02-23T19:09:40Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "mq.amazonaws.com", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "constraints": { "encryptionContextSubset": { "aws:ebs:id": "vol-0b670f00f7d5417c0" } }, "operations": [ "Decrypt" ], "retiringPrincipal": "ec2.us-east-1.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventCategory": "Management" }

Untuk informasi selengkapnya tentang KMS kunci, lihat AWS KMS keysdi Panduan AWS Key Management Service Pengembang.

Enkripsi bergerak

Amazon MQ untuk ActiveMQ: Amazon MQ untuk ActiveMQ memerlukan Transport Layer TLS Security () yang kuat dan mengenkripsi data dalam perjalanan antara broker penyebaran Amazon MQ Anda. Semua data yang lewat antara broker Amazon MQ dienkripsi menggunakan Transport Layer Security () yang kuat. TLS Ini berlaku untuk semua protokol yang tersedia.

Amazon MQ untuk RabbitMQ: Amazon MQ untuk RabbitMQ memerlukan enkripsi Transport Layer Security () yang kuat untuk semua koneksi klien. TLS Lalu lintas replikasi cluster RabbitMQ hanya transit broker Anda VPC dan semua lalu lintas jaringan antara pusat AWS data dienkripsi secara transparan pada lapisan fisik. Amazon MQ untuk broker berkerumun RabbitMQ saat ini tidak mendukung enkripsi antar-node untuk replikasi cluster. Untuk mempelajari selengkapnya data-in-transit, lihat Mengenkripsi Data-AT-Rest dan -In-Transit.

Protokol Amazon MQ for ActiveMQ

Anda dapat mengakses broker ActiveMQ Anda menggunakan protokol berikut dengan diaktifkan: TLS

ActiveMQ di Amazon MQ mendukung cipher suite berikut:

  • TLS_ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384

  • TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA

  • TLS_ _ DHE _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ _ DHE _ RSA WITH _ AES CBC _256_ _ SHA256

  • TLS_ _ DHE _ RSA WITH _ AES CBC _256_ _ SHA

  • TLS_ _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ _ RSA WITH _ AES CBC _256_ _ SHA256

  • TLS_ _ RSA WITH _ AES CBC _256_ _ SHA

  • TLS_ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256

  • TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256

  • TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA

  • TLS_ _ DHE _ RSA WITH _ AES GCM _128_ _ SHA256

  • TLS_ _ DHE _ RSA WITH _ AES CBC _128_ _ SHA256

  • TLS_ _ DHE _ RSA WITH _ AES CBC _128_ _ SHA

  • TLS_ _ RSA WITH _ AES GCM _128_ _ SHA256

  • TLS_ _ RSA WITH _ AES CBC _128_ _ SHA256

  • TLS_ _ RSA WITH _ AES CBC _128_ _ SHA

Protokol Amazon MQ for RabbitMQ

Anda dapat mengakses broker RabbitMQ Anda menggunakan protokol berikut dengan diaktifkan: TLS

RabbitMQ di Amazon MQ mendukung cipher suite berikut:

  • TLS_ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256