Protection des données dans Amazon MQ - Amazon MQ
ChiffrementChiffrement au reposChiffrement en transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon MQ

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon MQ. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de GDPR blog sur le blog sur la AWS sécurité.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Amazon MQ ou un autre utilisateur à Services AWS l'aide de la console, API AWS CLI, ou. AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Pour les courtiers Amazon MQ pour ActiveMQ et Amazon MQ pour RabbitMQ, n'utilisez aucune information personnellement identifiable () ni aucune autre PII information confidentielle ou sensible pour les noms de courtiers ou les noms d'utilisateur lorsque vous créez des ressources via la console Web du courtier ou Amazon MQ. API Les noms des courtiers et les noms d'utilisateur sont accessibles à d'autres AWS services, notamment aux CloudWatch journaux. Les noms d'utilisateur des agents ne sont pas destinées à être utilisées pour des données privées ou sensibles.

Chiffrement

Les données utilisateur stockées dans Amazon MQ sont chiffrées au repos. Le chiffrement au repos d'Amazon MQ fournit une sécurité renforcée en chiffrant vos données à l'aide des clés de chiffrement stockées dans le AWS Key Management Service (). KMS Ce service réduit la lourdeur opérationnelle et la complexité induites par la protection des données sensibles. Le chiffrement au repos vous permet de créer des applications sensibles en matière de sécurité qui sont conformes aux exigences réglementaires et de chiffrement.

Toutes les connexions entre les courtiers Amazon MQ utilisent le protocole Transport Layer Security (TLS) pour assurer le chiffrement pendant le transit.

Amazon MQ chiffre les messages au repos et en transit à l'aide de clés de chiffrement qu'il gère et stocke en toute sécurité. Pour plus d’informations, consultez le Guide du développeur AWS Encryption SDK.

Chiffrement au repos

Amazon MQ s'intègre à AWS Key Management Service (KMS) pour offrir un chiffrement transparent côté serveur. Amazon MQ chiffre toujours vos données au repos.

Lorsque vous créez un courtier Amazon MQ pour ActiveMQ ou un courtier Amazon MQ pour RabbitMQ, vous pouvez spécifier celui que vous AWS KMS key souhaitez qu'Amazon MQ utilise pour chiffrer vos données au repos. Si vous ne spécifiez pas de KMS clé, Amazon MQ crée une KMS clé AWS personnelle pour vous et l'utilise en votre nom. Amazon MQ prend actuellement en charge les clés symétriquesKMS. Pour plus d'informations sur KMS les clés, consultez AWS KMS keys.

Lorsque vous créez un agent, vous pouvez configurer la clé de chiffrement utilisée par Amazon MQ en sélectionnant l'une des options suivantes.

  • KMSClé appartenant à Amazon MQ (par défaut) : la clé est détenue et gérée par Amazon MQ et ne figure pas dans votre compte.

  • AWS KMSclé gérée : la KMS clé AWS gérée (aws/mq) est une KMS clé de votre compte créée, gérée et utilisée en votre nom par Amazon MQ.

  • Sélectionnez une KMS clé gérée par le client existante — Les KMS clés gérées par le client sont créées et gérées par vous dans AWS Key Management Service (KMS).

Important

  • La révocation d'un octroi ne peut pas être annulée. Nous vous suggérons plutôt de supprimer le courtier si vous devez révoquer les droits d'accès.

  • Pour les courtiers Amazon MQ for ActiveMQ qui utilisent Amazon Elastic File System (EFS) pour stocker les données des messages, si vous révoquez l'autorisation autorisant EFS Amazon à utiliser KMS les clés de votre compte, cela n'aura pas lieu immédiatement.

  • Pour les courtiers EBSAmazon MQ pour RabbitMQ et Amazon MQ pour ActiveMQ utilisés pour stocker les données des messages, si vous désactivez, planifiez la suppression ou révoquez l'autorisation autorisant EBS Amazon à utiliser les KMS clés de votre compte, Amazon MQ ne peut pas gérer votre courtier et il peut passer à un état dégradé.

  • Si vous avez désactivé la clé ou planifié sa suppression, vous pouvez la réactiver ou annuler la suppression de la clé et conserver votre agent.

  • La désactivation d'une clé ou la révocation d'un octroi n'aura pas lieu immédiatement.

Lorsque vous créez un courtier à instance unique avec une KMS clé pour RabbitMQ, vous verrez deux CreateGrant événements connectés. AWS CloudTrail Le premier événement est la création par Amazon MQ d'une subvention pour la KMS clé. Le deuxième événement est EBS la création d'une subvention EBS à utiliser.

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
EBS grant creation

Vous assisterez à un événement consacré à la création de EBS subventions. 


                                    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Lorsque vous créez un déploiement de cluster avec une KMS clé pour RabbitMQ, vous verrez cinq CreateGrant événements connectés. AWS CloudTrail Les deux premiers événements sont des créations d'autorisation pour Amazon MQ. Les trois événements suivants sont des subventions créées EBS EBS pour être utilisées.

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Encrypt",
            "Decrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
mq_rabbit_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
EBS grant creation

Vous assisterez à trois événements consacrés à la création de EBS subventions. 


                                      {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Pour plus d'informations sur KMS les clés, consultez AWS KMS keysle guide du AWS Key Management Service développeur.

Chiffrement en transit

Amazon MQ pour ActiveMQ : Amazon MQ pour ActiveMQ nécessite une TLS sécurité renforcée de la couche de transport () et chiffre les données en transit entre les courtiers de votre déploiement Amazon MQ. Toutes les données transmises entre les courtiers Amazon MQ sont cryptées grâce à une sécurité renforcée de la couche de transport ()TLS. Cette règle s'applique à tous les protocoles disponibles.

Amazon MQ pour RabbitMQ : Amazon MQ pour RabbitMQ nécessite un cryptage fort du protocole Transport Layer Security () pour toutes les connexions client. TLS Le trafic de réplication de clusters RabbitMQ transite uniquement par celui de votre courtier VPC et tout le trafic réseau entre les centres de AWS données est crypté de manière transparente au niveau de la couche physique. Les agents en cluster Amazon MQ for RabbitMQ ne prennent actuellement pas en charge le chiffrement entre nœuds pour la réplication en cluster. Pour en savoir plus data-in-transit, consultez la section Chiffrement des données au repos et en transit.

Protocoles Amazon MQ for ActiveMQ

Vous pouvez accéder à vos courtiers ActiveMQ à l'aide des protocoles suivants, lorsque cette option est activée : TLS

ActiveMQ sur Amazon MQ prend en charge les suites de chiffrement suivantes :

  • TLS_ ECDHE _ _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ ECDHE _ _ RSA WITH _ AES CBC _256_ _ SHA384

  • TLS_ ECDHE _ _ RSA WITH _ AES CBC _256_ _ SHA

  • TLS_ DHE _ _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ DHE _ _ RSA WITH _ AES CBC _256_ _ SHA256

  • TLS_ DHE _ _ RSA WITH _ AES CBC _256_ _ SHA

  • TLS_ _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ _ RSA WITH _ AES CBC _256_ _ SHA256

  • TLS_ _ RSA WITH _ AES CBC _256_ _ SHA

  • TLS_ ECDHE _ _ RSA WITH _ AES GCM _128_ _ SHA256

  • TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA256

  • TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA

  • TLS_ DHE _ _ RSA WITH _ AES GCM _128_ _ SHA256

  • TLS_ DHE _ _ RSA WITH _ AES CBC _128_ _ SHA256

  • TLS_ DHE _ _ RSA WITH _ AES CBC _128_ _ SHA

  • TLS_ _ RSA WITH _ AES GCM _128_ _ SHA256

  • TLS_ _ RSA WITH _ AES CBC _128_ _ SHA256

  • TLS_ _ RSA WITH _ AES CBC _128_ _ SHA

Protocoles Amazon MQ for RabbitMQ

Vous pouvez accéder à vos courtiers RabbitMQ en utilisant les protocoles suivants lorsque vous êtes activé : TLS

RabbitMQ sur Amazon MQ prend en charge les suites de chiffrement suivantes :

  • TLS_ ECDHE _ _ RSA WITH _ AES GCM _256_ _ SHA384

  • TLS_ ECDHE _ _ RSA WITH _ AES GCM _128_ _ SHA256