Prácticas recomendadas de seguridad para Amazon SQS - Amazon Simple Queue Service
Comprobación de que las colas no sean accesibles de forma públicaImplementación del acceso a los privilegios mínimosUtilice funciones de IAM para aplicaciones y AWS servicios que requieren acceso a Amazon SQSImplementación del cifrado en el servidorAplicación del cifrado de los datos en tránsitoConsideración del uso de puntos de conexión de VPC para obtener acceso a Amazon SQS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad para Amazon SQS

AWS proporciona numerosas funciones de seguridad para Amazon SQS, que debe revisar en el contexto de su propia política de seguridad. A continuación, se indican las prácticas recomendadas de seguridad preventiva para Amazon SQS.

nota

La orientación de implementación específica que se proporciona corresponde a casos de uso e implementaciones habituales. Le sugerimos que consulte estas prácticas recomendadas en el contexto de su caso de uso, arquitectura y modelo de amenaza concretos.

Comprobación de que las colas no sean accesibles de forma pública

A menos que exija explícitamente a cualquier persona de Internet que pueda leer o escribir en su cola de Amazon SQS, debe asegurarse de que su cola no sea de acceso público (a la que puedan acceder todos los habitantes del mundo o cualquier usuario autenticado). AWS

  • Evite la creación de políticas con Principal establecido en "".

  • Evite usar un carácter comodín (*). En su lugar, designe a un usuario o usuarios específicos.

Implementación del acceso a los privilegios mínimos

Cuando concede permisos, decide quién los recibe, para qué colas son los permisos y las acciones específicas de la API que desea permitir en estas colas. La implementación de los privilegios mínimos es importante para reducir los riesgos de seguridad y disminuir el efecto de errores o intenciones maliciosas.

Siga el consejo de seguridad estándar de concesión del privilegio mínimo. Es decir, conceda solo los permisos necesarios para realizar una tarea específica. Puede efectuar esta impresora con una combinación de políticas de seguridad.

Amazon SQS utiliza el modelo productor-consumidor, que requiere tres tipos de acceso a la cuenta de usuario:

  • Administradores: acceso a la creación, modificación y eliminación de colas. Los administradores también controlan las políticas de cola.

  • Productores: acceso al envío de mensajes a las colas.

  • Consumidores: acceso a la recepción y eliminación de mensajes de las colas.

Para obtener más información, consulte las siguientes secciones:

Utilice funciones de IAM para aplicaciones y AWS servicios que requieren acceso a Amazon SQS

Para que aplicaciones o AWS servicios como Amazon EC2 puedan acceder a las colas de Amazon SQS, deben utilizar credenciales AWS válidas en sus solicitudes de API. AWS Como estas credenciales no se rotan automáticamente, no debe almacenar las AWS credenciales directamente en la aplicación o en la instancia de EC2.

Debe utilizar un rol de IAM para administrar de manera temporal credenciales para las aplicaciones o los servicios que necesiten acceder a Amazon SQS. Cuando utiliza un rol, no tiene que distribuir credenciales de larga duración (como un nombre de usuario, una contraseña y claves de acceso) a una instancia o AWS servicio de EC2 como. AWS Lambda En cambio, el rol proporciona permisos temporales que las aplicaciones pueden usar cuando realizan llamadas a otros AWS recursos.

Para obtener más información, consulte Roles de IAM y Situaciones habituales con los roles: usuarios, aplicaciones y servicios en la Guía del usuario de IAM.

Implementación del cifrado en el servidor

Para mitigar los problemas de fuga de datos, utilice el cifrado en reposo para cifrar sus mensajes mediante una clave almacenada en una ubicación distinta de la ubicación en la que se almacenan los mensajes. Con el cifrado del lado del servidor (SSE), se proporciona cifrado de datos en reposo. Amazon SQS cifra sus datos en el nivel de mensaje cuando los almacena y descifra los mensajes para usted cuando accede a ellos. El SSE utiliza claves gestionadas en AWS Key Management Service. Siempre que autentique su solicitud y tenga permiso de acceso, no existe diferencia alguna entre obtener acceso a las colas cifradas y sin cifrar.

Para obtener más información, consulte El cifrado en reposo en Amazon SQS y Administración de SQS claves de Amazon.

Aplicación del cifrado de los datos en tránsito

Sin HTTPS (TLS), un atacante basado en la red puede espiar el tráfico de la red o manipularlo mediante un ataque como. man-in-the-middle Permitir solo las conexiones cifradas a través de HTTPS (TLS) mediante la condición aws:SecureTransport en la política de colas para forzar que las solicitudes utilicen SSL.

Consideración del uso de puntos de conexión de VPC para obtener acceso a Amazon SQS

Si tiene colas con las que debe poder interactuar pero que no deben estar expuestas a Internet, utilice los puntos de enlace de la VPC para poner en la cola el acceso solo a los hosts dentro de una VPC concreta. Puede utilizar las políticas de colas para controlar el acceso a las colas desde determinados puntos de conexión de Amazon VPC o desde determinadas VPC.

Los puntos de conexión de VPC de Amazon SQS brindan dos maneras de controlar el acceso a los mensajes:

  • Puede controlar qué solicitudes, usuarios o grupos obtienen acceso a través de un punto de conexión de la VPC específico.

  • Puede controlar qué VPC o puntos de enlace de la VPC tienen acceso a su cola con una política de colas.

Para obtener más información, consulte Puntos de enlace de Amazon Virtual Private Cloud para Amazon SQS y Creación de una política de VPC puntos de conexión de Amazon para Amazon SQS.