Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Best Practices für die Sicherheit in Amazon MQ
Die folgenden Entwurfsmuster können die Sicherheit Ihres Amazon MQ-Broker verbessern.
Themen
Weitere Informationen dazu, wie Amazon MQ Ihre Daten verschlüsselt, sowie eine Liste der unterstützten Protokolle finden Sie unterDatenschutz.
Broker ohne öffentlichen Zugriff bevorzugen
Für Broker ohne öffentliche Zugänglichkeit ist kein Zugriff von außerhalb Ihrer VPC möglich. Dies reduziert die Anfälligkeit Ihres Brokers für DDoS-Angriffe (Distributed Denial of Service) aus dem öffentlichen Internet ganz wesentlich. Weitere Informationen finden Sie unter Zugriff auf die Amazon MQ Broker-Webkonsole ohne öffentlichen Zugriff in diesem Handbuch und unter Vorbereitung auf DDoS-Angriffe durch die Verringerung der Angriffsfläche
Immer eine Autorisierungszuordnung konfigurieren
Da für ActiveMQ standardmäßig keine Autorisierungszuordnung konfiguriert ist, kann jeder authentifizierte Benutzer eine Aktion auf dem Broker ausführen. Daher ist es eine bewährte Methode, Berechtigungen nach Gruppe einzuschränken. Weitere Informationen finden Sie unter authorizationEntry
.
Wichtig
Wenn Sie eine Autorisierungszuordnung angeben, die dieactivemq-webconsole
können Sie die ActiveMQ Webkonsole nicht verwenden, da die Gruppe nicht berechtigt ist, Nachrichten an den Amazon MQ -Broker zu senden oder von ihm Nachrichten zu empfangen.
Unnötige Protokolle mit VPC-Sicherheitsgruppen bockieren
Um die Sicherheit zu erhöhen, sollten Sie die Verbindungen von unnötigen Protokolle und Ports, indem Sie Ihre Amazon VPC-Sicherheitsgruppe ordnungsgemäß konfigurieren. Beispielsweise können Sie zur Einschränkung des Zugriffs auf die meisten Protokolle bei gleichzeitiger Gewährung des Zugriffs zu OpenWire und zur Webkonsole den Zugriff lediglich auf 61617 und 8162 erlauben. Dies begrenzt Gefahren durch die Blockierung von Protokollen, die Sie nicht verwenden, während OpenWire und die Webkonsole normal funktionieren können.
Erlauben Sie nur die Protokoll-Ports, die Sie verwenden.
-
AMQP: 5671
-
MQTT: 8883
-
OpenWire: 61617
-
STOMP: 61614
-
WebSocket: 61619
Weitere Informationen finden Sie unter: