Configurar logs do Amazon MQ for ActiveMQ - Amazon MQ
Entendendo a estrutura do registro em CloudWatch LogsAdicionar a permissão CreateLogGroup ao seu usuário do Amazon MQConfigure uma política baseada em recursos para o Amazon MQPrevenção contra o ataque do “substituto confuso” em todos os serviços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar logs do Amazon MQ for ActiveMQ

Para permitir que o Amazon MQ publique registros no CloudWatch Logs, você deve adicionar uma permissão ao seu usuário do Amazon MQ e também configurar uma política baseada em recursos para o Amazon MQ antes de criar ou reiniciar o agente.

nota

Quando você ativa os registros e publica mensagens do console web ActiveMQ, o conteúdo da mensagem é enviado e exibido CloudWatch nos registros.

A seguir, descrevemos as etapas para configurar CloudWatch registros para seus corretores ActiveMQ.

Entendendo a estrutura do registro em CloudWatch Logs

Você pode habilitar o registro geral e de auditoria ao configurar definições avançadas do agente na criação ou edição de um agente.

O registro geral ativa o nível de INFO registro padrão (o DEBUG registro não é suportado) e publica activemq.log em um grupo de registros em sua CloudWatch conta. O grupo de logs tem um formato semelhante ao seguinte:

/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general

O registro de auditoria permite o registro de ações de gerenciamento realizadas usando JMX ou usando o ActiveMQ Web Console e audit.log as publica em um grupo de registros em sua conta. CloudWatch O grupo de logs tem um formato semelhante ao seguinte:

/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit

Dependendo se você tem um agente de instância única ou um agente ativo/em espera, o Amazon MQ cria uma ou duas transmissões de log dentro de cada grupo de logs. Os fluxos de log têm um formato semelhante ao seguinte:

activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
                activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log

Os sufixos -1 e -2 denotam instâncias individuais do agente. Para obter mais informações, consulte Como trabalhar com grupos de registros e fluxos de registros no Guia do usuário do Amazon CloudWatch Logs.

Adicionar a permissão CreateLogGroup ao seu usuário do Amazon MQ

Para permitir que o Amazon MQ crie um grupo de CloudWatch logs de registros, você deve garantir que o usuário que cria ou reinicializa o agente tenha a permissão. logs:CreateLogGroup

Importante

Se você não adicionar a permissão CreateLogGroup ao seu usuário do Amazon MQ antes que ele crie ou reinicialize o agente, o Amazon MQ não criará o grupo de logs.

A política IAM baseada no exemplo a seguir concede permissão logs:CreateLogGroup aos usuários aos quais essa política está anexada.

{
                    "Version": "2012-10-17",
                    "Statement": [
                        {
                            "Effect": "Allow",
                            "Action": "logs:CreateLogGroup",
                            "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
                        }
                    ]
                    }
nota

Aqui, o termo usuário se refere a Usuários e não a Usuários do Amazon MQ, que são criados quando um novo agente é configurado. Para obter mais informações sobre a configuração de usuários e IAM políticas, consulte a seção Visão geral do gerenciamento de identidades do Guia do IAM usuário.

Para obter mais informações, consulte CreateLogGroup a Amazon CloudWatch Logs API Reference.

Configure uma política baseada em recursos para o Amazon MQ

Importante

Se você não configurar uma política baseada em recursos para o Amazon MQ, o agente não poderá publicar os registros no Logs. CloudWatch

Para permitir que o Amazon MQ publique registros em seu grupo de CloudWatch registros de registros, configure uma política baseada em recursos para dar ao Amazon MQ acesso às seguintes ações de registros: CloudWatch API

  • CreateLogStream— Cria um fluxo de CloudWatch registros para o grupo de registros especificado.

  • PutLogEvents— Entrega eventos para o fluxo de registro de CloudWatch registros especificado.

A seguinte política baseada em recursos concede permissão para logs:CreateLogStream e logs:PutLogEvents para. AWS

{ 
                            "Version": "2012-10-17", 
                            "Statement": [ 
                                {
                                    "Effect": "Allow",
                                    "Principal": { "Service": "mq.amazonaws.com" },
                                    "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
                                    "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
                                } 
                            ]
                        }

Essa política baseada em recursos deve ser configurada usando o, AWS CLI conforme mostrado no comando a seguir. No exemplo, substitua us-east-1 com suas próprias informações.

aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
                        --policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
                        \"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
nota

Como esse exemplo usa o /aws/amazonmq/ prefixo, você precisa configurar a política baseada em recursos somente uma vez por AWS conta, por região.

Prevenção contra o ataque do “substituto confuso” em todos os serviços

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Recomendamos usar as aws:SourceArn chaves de contexto de condição aws:SourceAccount global em sua política baseada em recursos do Amazon MQ para limitar o acesso aos CloudWatch registros a um ou mais corretores específicos.

nota

Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount e a conta aws:SourceArn no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

O exemplo a seguir demonstra uma política baseada em recursos que limita o acesso aos CloudWatch registros a um único agente do Amazon MQ. 

{
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                            "Effect": "Allow",
                            "Principal": {
                                "Service": "mq.amazonaws.com"
                            },
                            "Action": [
                                "logs:CreateLogStream",
                                "logs:PutLogEvents"
                            ],
                            "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
                            "Condition": {
                                "StringEquals": {
                                "aws:SourceAccount": "123456789012",
                                "aws:SourceArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
                                }
                            }
                            }
                        ]
                        }

Você também pode configurar sua política baseada em recursos para limitar o acesso aos CloudWatch registros a todos os corretores em uma conta, conforme mostrado a seguir. 

{
                            "Version": "2012-10-17",
                            "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                "Service": [
                                    "mq.amazonaws.com"
                                ]
                                },
                                "Action": [
                                "logs:CreateLogStream",
                                "logs:PutLogEvents"
                                ],
                                "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
                                "Condition": {
                                "ArnLike": {
                                    "aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
                                },
                                "StringEquals": {
                                    "aws:SourceAccount": "123456789012"
                                }
                                }
                            }
                            ]
                        }

Para obter mais informações sobre o problema de segurança de representante confuso, consulte O problema do representante confuso, no Guia do usuário.