Amazon MQ コントロール

これらのコントロールは Amazon MQ リソースに関連しています。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

関連する要件： NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ: AWS::AmazonMQ::Broker

AWS Config ルール : mq-cloudwatch-audit-log-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon MQ ActiveMQ ブローカーが監査ログを Amazon CloudWatch Logs にストリーミングするかどうかをチェックします。ブローカーが監査ログを CloudWatch Logs にストリーミングしない場合、コントロールは失敗します。

ActiveMQ ブローカーログを CloudWatch Logs に発行することで、セキュリティ関連情報の可視性を高める CloudWatch アラームとメトリクスを作成できます。

修正

ActiveMQ ブローカーログを CloudWatch ログにストリーミングするには、Amazon MQ デベロッパーガイド」の「Amazon MQ for ActiveMQ ログの設定」を参照してください。 Amazon MQ

[MQ.3] Amazon MQ ブローカーでは、マイナーバージョンの自動アップグレードを有効にする必要があります

関連する要件： NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度: 低

リソースタイプ: AWS::AmazonMQ::Broker

AWS Config ルール : mq-auto-minor-version-upgrade-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon MQ ブローカーで自動マイナーバージョンアップグレードが有効になっているかどうかをチェックします。ブローカーで自動マイナーバージョンアップグレードが有効になっていない場合、コントロールは失敗します。

Amazon MQ が新しいブローカーエンジンバージョンをリリースしてサポートしているため、変更は既存のアプリケーションと下位互換性があり、既存の機能を非推奨にしません。自動ブローカーエンジンバージョン更新により、セキュリティリスクからの保護、バグの修復、機能の向上が可能になります。

注記

自動マイナーバージョンアップグレードに関連付けられたブローカーが最新のパッチにあり、サポートされなくなった場合は、アップグレードを手動で実行する必要があります。

修正

MQ ブローカーの自動マイナーバージョンアップグレードを有効にするには、Amazon MQ デベロッパーガイド」の「マイナーエンジンバージョンの自動アップグレード」を参照してください。

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ: AWS::AmazonMQ::Broker

AWS Config ルール: tagged-amazonmq-broker (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ	説明	[Type] (タイプ)	許可されているカスタム値	Security Hub のデフォルト値
requiredTagKeys	評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。	StringList	AWS 要件を満たすタグのリスト	No default value

このコントロールは、Amazon MQ ブローカーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ブローカーにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ブローカーがキーでタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。ABAC は、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。

修正

Amazon MQ ブローカーにタグを追加するには、Amazon MQ デベロッパーガイド」の「リソースのタグ付け」を参照してください。

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 低

リソースタイプ: AWS::AmazonMQ::Broker

AWS Config ルール : mq-active-deployment-mode

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon MQ ActiveMQ ブローカーのデプロイモードがアクティブ/スタンバイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。

アクティブ/スタンバイデプロイにより、 AWS リージョン内の Amazon MQ ActiveMQ ブローカーの可用性が高くなります。アクティブ/スタンバイのデプロイモードには、2 つの異なるアベイラビリティーゾーンの 2 つのブローカーインスタンスが冗長ペアとして設定されています。これらのブローカーはアプリケーションと同期して通信するため、障害発生時のダウンタイムやデータ損失を減らすことができます。

修正

アクティブ/スタンバイデプロイモードで新しい ActiveMQ ブローカーを作成するには、「Amazon MQ デベロッパーガイド」の「ActiveMQ ブローカーの作成と設定」を参照してください。[デプロイモード] で、[アクティブ/スタンバイブローカー] を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度: 低

リソースタイプ: AWS::AmazonMQ::Broker

AWS Config ルール : mq-rabbit-deployment-mode

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon MQ RabbitMQ ブローカーのデプロイモードがクラスターデプロイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。

クラスターデプロイにより、 AWS リージョン内の Amazon MQ RabbitMQ ブローカーの可用性が高くなります。クラスターデプロイは、3 つの RabbitMQ ブローカーノードを論理的にグループ化したもので、それぞれに独自の Amazon Elastic Block Store (Amazon EBS) ボリュームと 1 つの共有状態があります。クラスターデプロイは、データがクラスター内の全ノードに確実に複製され、障害発生時のダウンタイムとデータ損失が減少するようにします。

修正

クラスターデプロイモードで新しい RabbitMQ ブローカーを作成するには、「Amazon MQ デベロッパーガイド」の「RabbitMQ ブローカーの作成と接続」を参照してください。[デプロイモード] で、[クラスターデプロイ] を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。