Prácticas recomendadas de seguridad para Amazon SQS - Amazon Simple Queue Service
Comprobación de que las colas no sean accesibles de forma públicaImplementación del acceso a los privilegios mínimosUso de roles de IAM para aplicaciones y servicios de AWS que requieren acceso a Amazon SQSImplementación del cifrado en el servidorAplicación del cifrado de los datos en tránsitoConsideración del uso de puntos de conexión de VPC para obtener acceso a Amazon SQS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad para Amazon SQS

AWS proporciona muchas características de seguridad para Amazon SQS, que debe revisar en el contexto de su política de seguridad. A continuación, se indican las prácticas recomendadas de seguridad preventiva para Amazon SQS.

nota

La orientación de implementación específica que se proporciona corresponde a casos de uso e implementaciones habituales. Le sugerimos que consulte estas prácticas recomendadas en el contexto de su caso de uso, arquitectura y modelo de amenaza concretos.

Comprobación de que las colas no sean accesibles de forma pública

A menos que requiera explícitamente que alguien en Internet pueda leer o escribir en su cola de Amazon SQS, debe asegurarse de que no sea accesible públicamente (accesible para todos o para cualquier usuario de AWS autenticado).

  • Evite la creación de políticas con Principal establecido en "".

  • Evite usar un carácter comodín (*). En su lugar, designe a un usuario o usuarios específicos.

Implementación del acceso a los privilegios mínimos

Cuando concede permisos, decide quién los recibe, para qué colas son los permisos y las acciones específicas de la API que desea permitir en estas colas. La implementación de los privilegios mínimos es importante para reducir los riesgos de seguridad y disminuir el efecto de errores o intenciones maliciosas.

Siga el consejo de seguridad estándar de concesión del privilegio mínimo. Es decir, conceda solo los permisos necesarios para realizar una tarea específica. Puede efectuar esta impresora con una combinación de políticas de seguridad.

Amazon SQS utiliza el modelo productor-consumidor, que requiere tres tipos de acceso a la cuenta de usuario:

  • Administradores: acceso a la creación, modificación y eliminación de colas. Los administradores también controlan las políticas de cola.

  • Productores: acceso al envío de mensajes a las colas.

  • Consumidores: acceso a la recepción y eliminación de mensajes de las colas.

Para obtener más información, consulte las siguientes secciones:

Uso de roles de IAM para aplicaciones y servicios de AWS que requieren acceso a Amazon SQS

Para que aplicaciones o servicios de AWS, como Amazon EC2, obtengan acceso a colas de Amazon SQS, deben utilizar credenciales de AWS válidas en sus solicitudes a la API de AWS. Como estas credenciales no rotan automáticamente, no debe almacenar credenciales de AWS directamente en la aplicación ni en la instancia EC2.

Debe utilizar un rol de IAM para administrar de manera temporal credenciales para las aplicaciones o los servicios que necesiten acceder a Amazon SQS. Al utilizar un rol, no tiene que distribuir credenciales a largo plazo (como un nombre de usuario, una contraseña y claves de acceso) a una instancia EC2 o un servicio de AWS como AWS Lambda. En vez de ello, el rol proporciona permisos temporales que las aplicaciones pueden utilizar al realizar llamadas a otros recursos de AWS.

Para obtener más información, consulte Roles de IAM y Situaciones habituales con los roles: usuarios, aplicaciones y servicios en la Guía del usuario de IAM.

Implementación del cifrado en el servidor

Para mitigar los problemas de fuga de datos, utilice el cifrado en reposo para cifrar sus mensajes mediante una clave almacenada en una ubicación distinta de la ubicación en la que se almacenan los mensajes. Con el cifrado del lado del servidor (SSE), se proporciona cifrado de datos en reposo. Amazon SQS cifra sus datos en el nivel de mensaje cuando los almacena y descifra los mensajes para usted cuando accede a ellos. SSE utiliza claves administradas en AWS Key Management Service. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna entre obtener acceso a las colas cifradas y sin cifrar.

Para obtener más información, consulte Cifrado en reposo en Amazon SQS y Administración de claves de Amazon SQS.

Aplicación del cifrado de los datos en tránsito

Sin HTTPS (TLS), un atacante basado en red puede espiar el tráfico de la red o manipularlo, utilizando un ataque como MTM (man-in-the-middle). Permitir solo las conexiones cifradas a través de HTTPS (TLS) mediante la condición aws:SecureTransport en la política de colas para forzar que las solicitudes utilicen SSL.

Consideración del uso de puntos de conexión de VPC para obtener acceso a Amazon SQS

Si tiene colas con las que debe poder interactuar pero que no deben estar expuestas a Internet, utilice los puntos de enlace de la VPC para poner en la cola el acceso solo a los hosts dentro de una VPC concreta. Puede utilizar las políticas de colas para controlar el acceso a las colas desde determinados puntos de conexión de Amazon VPC o desde determinadas VPC.

Los puntos de conexión de VPC de Amazon SQS brindan dos maneras de controlar el acceso a los mensajes:

  • Puede controlar qué solicitudes, usuarios o grupos obtienen acceso a través de un punto de conexión de la VPC específico.

  • Puede controlar qué VPC o puntos de enlace de la VPC tienen acceso a su cola con una política de colas.

Para obtener más información, consulte Puntos de conexión de Amazon Virtual Private Cloud para Amazon SQS y Creación de una política de punto de conexión de VPC para Amazon SQS.