Amazon MQ のセキュリティベストプラクティス

以下の設計パターンは、Amazon MQ ブローカーのセキュリティを向上させることができます。

Amazon MQ がデータを暗号化する方法、およびサポートされるプロトコルのリストの詳細については、「データ保護」を参照してください。

パブリックアクセスビリティのないブローカーを優先する

パブリックアクセシビリティなしで作成されたブローカーには、VPC 外からアクセスできません。これにより、ブローカーがパブリックインターネットからの分散サービス妨害 (DDoS) 攻撃を受ける可能性が大幅に低減されます。詳細については、このガイドの パブリックアクセシビリティが無効化されたブローカーウェブコンソールへのアクセス および セキュリティブログの「攻撃領域を減らして DDoS 攻撃に備える方法AWS」を参照してください。

認可マップを常に設定する

デフォルトでは、ActiveMQ には承認された承認マップがないため、認証されたすべてのユーザーが、ブローカーであらゆるアクションを実行することができます。したがって、グループごとにアクセス許可を制限することがベストプラクティスとなります。詳細については、「authorizationEntry」を参照してください。

重要

activemq-webconsole グループが含まれない認可マップを指定する場合、Amazon MQ ブローカーにメッセージを送信する権限、またはブローカーからメッセージを受信する権限がグループにないことから、ActiveMQ ウェブコンソールは使用できません。

VPC セキュリティグループを使用して不要なプロトコルをブロックする

セキュリティを向上させるには、Amazon VPC セキュリティグループを正しく設定して、不要なプロトコルとポートの接続を制限する必要があります。例えば、OpenWire および ウェブコンソールへのアクセスを許可する一方で、ほとんどのプロトコルへのアクセスを制限するには、61617 および 8162 へのアクセスのみを許可することができます。これは、OpenWire とウェブコンソールが正常に機能することを可能にしながら、使用していないプロトコルをブロックすることによって、露出を制限します。

使用しているプロトコルポートのみを許可します。

• AMQP: 5671

• MQTT: 8883

• OpenWire: 61617

• STOMP: 61614

• WebSocket: 61619

詳細については、以下を参照してください。

• Configure Additional Broker Settings

• VPC のセキュリティグループ

• VPC のデフォルトセキュリティグループ

• セキュリティグループを操作する