Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan untuk Amazon MQ
Pola desain berikut dapat meningkatkan keamanan broker Amazon MQ Anda.
Topik
Untuk informasi selengkapnya tentang cara Amazon MQ mengenkripsi data Anda, serta daftar protokol yang didukung, lihat Perlindungan Data.
Lebih memilih broker tanpa aksesibilitas publik
Broker yang dibuat tanpa aksesibilitas publik tidak dapat diakses dari luar VPC Anda. Hal ini sangat mengurangi kerentanan broker terhadap serangan Distributed Denial of Service (DDoS) dari internet publik. Untuk informasi selengkapnya, lihat Mengakses konsol web broker Amazon MQ tanpa aksesibilitas publik dalam panduan ini dan How to Help Prepare for DDoS Attacks by Reducing Your Attack Surface
Selalu konfigurasikan peta otorisasi
Karena ActiveMQ tidak memiliki peta otorisasi yang dikonfigurasi secara default, setiap pengguna yang diautentikasi dapat melakukan tindakan apa pun pada broker. Dengan demikian, praktik terbaiknya adalah membatasi izin menurut grup. Untuk informasi selengkapnya, lihat authorizationEntry
.
penting
Jika menentukan peta otorisasi yang tidak menyertakan grup activemq-webconsole
, Anda tidak dapat menggunakan Konsol Web ActiveMQ karena grup tidak berwenang untuk mengirim pesan ke, atau menerima pesan dari, broker Amazon MQ.
Blokir protokol yang tidak diperlukan dengan grup keamanan VPC
Untuk meningkatkan keamanan, Anda harus membatasi koneksi protokol dan port yang tidak diperlukan melalui konfigurasi Grup Keamanan Amazon VPC yang benar. Misalnya, untuk membatasi akses ke sebagian besar protokol seraya memungkinkan akses ke OpenWire dan konsol web, Anda dapat mengizinkan akses ke 61617 dan 8162 saja. Ini membatasi paparan Anda dengan memblokir protokol yang tidak digunakan, seraya memungkinkan OpenWire dan konsol web berfungsi secara normal.
Hanya memungkinkan port protokol yang Anda gunakan.
-
AMQP: 5671
-
MQTT: 8883
-
OpenWire: 61617
-
MENGINJAK-INJAK: 61614
-
WebSocket: 61619
Untuk informasi selengkapnya, lihat: