Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon MQ
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon MQ. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch
**Persyaratan terkait:** Nist.800-53.r5 AU-2, Nist.800-53.R5 AU-3, Nist.800-53.R5 AU-12, Nist.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::AmazonMQ::Broker`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah broker Amazon MQ ActiveMQ mengalirkan log audit ke Amazon Logs. CloudWatch Kontrol gagal jika broker tidak mengalirkan log audit ke CloudWatch Log.
Dengan menerbitkan log broker ActiveMQ CloudWatch ke Log, Anda dapat CloudWatch membuat alarm dan metrik yang meningkatkan visibilitas informasi terkait keamanan.
### Remediasi
*Untuk melakukan streaming log broker ActiveMQ CloudWatch ke Log, lihat [Mengonfigurasi Amazon MQ untuk log ActiveMQ di Panduan Pengembang Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*
## [MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
**penting**
Security Hub CSPM menghentikan kontrol ini pada Januari 2026. Untuk informasi selengkapnya, lihat [Ubah log untuk kontrol CSPM Security Hub](controls-change-log.md).
**Persyaratan terkait:** NIST.800-53.R5 CM-3, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/6.3.3
**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::AmazonMQ::Broker`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah broker Amazon MQ mengaktifkan peningkatan versi minor otomatis. Kontrol gagal jika broker tidak mengaktifkan peningkatan versi minor otomatis.
Saat Amazon MQ merilis dan mendukung versi mesin broker baru, perubahan tersebut kompatibel dengan aplikasi yang ada dan tidak menghentikan fungsionalitas yang ada. Pembaruan versi mesin broker otomatis melindungi Anda dari risiko keamanan, membantu memperbaiki bug, dan meningkatkan fungsionalitas.
**catatan**
Ketika broker yang terkait dengan peningkatan versi minor otomatis berada di tambalan terbaru dan menjadi tidak didukung, Anda harus mengambil tindakan manual untuk meningkatkan.
### Remediasi
Untuk mengaktifkan pemutakhiran versi minor otomatis untuk broker MQ, lihat [Memutakhirkan versi mesin minor secara otomatis](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) di Panduan Pengembang *Amazon* MQ.
## [MQ.4] Broker Amazon MQ harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::AmazonMQ::Broker`
**AWS Config aturan:** `tagged-amazonmq-broker` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah broker Amazon MQ memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika broker tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika broker tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke broker Amazon MQ, lihat [Menandai sumber daya](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) di Panduan Pengembang *Amazon* MQ.
## [MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::AmazonMQ::Broker`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah mode penerapan untuk broker Amazon MQ ActiveMQ diatur ke aktif/siaga. Kontrol gagal jika broker instans tunggal (diaktifkan secara default) ditetapkan sebagai mode penerapan.
Penerapan aktif/siaga menyediakan ketersediaan tinggi untuk broker Amazon MQ ActiveMQ Anda di file. Wilayah AWS Mode penerapan aktif/siaga mencakup dua instance broker di dua Availability Zone yang berbeda, dikonfigurasi dalam pasangan redundan. Pialang ini berkomunikasi secara serempak dengan aplikasi Anda, yang dapat mengurangi waktu henti dan kehilangan data jika terjadi kegagalan.
### Remediasi
*Untuk membuat broker ActiveMQ baru active/standby dengan mode penerapan, [lihat Membuat dan mengonfigurasi broker ActiveMQ di Panduan Pengembang Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html).* Untuk **mode Deployment**, pilih **Active/Standby** broker. Anda tidak dapat mengubah mode penerapan untuk broker yang ada. Sebagai gantinya, Anda harus membuat broker baru dan menyalin pengaturan dari broker lama.
## [MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::AmazonMQ::Broker`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah mode penerapan untuk broker Amazon MQ RabbitMQ disetel ke penerapan cluster. Kontrol gagal jika broker instans tunggal (diaktifkan secara default) ditetapkan sebagai mode penerapan.
Penerapan cluster memberikan ketersediaan tinggi untuk broker Amazon MQ RabbitMQ Anda di file. Wilayah AWS Penyebaran cluster adalah pengelompokan logis dari tiga node broker RabbitMQ, masing-masing dengan volume Amazon Elastic Block Store (Amazon EBS) sendiri dan status bersama. Penyebaran cluster memastikan bahwa data direplikasi ke semua node di cluster, yang dapat mengurangi waktu henti dan hilangnya data jika terjadi kegagalan.
### Remediasi
*Untuk membuat broker RabbitMQ baru dengan mode penerapan cluster, lihat [Membuat dan menghubungkan ke broker RabbitMQ di Panduan Pengembang Amazon](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) MQ.* Untuk **mode Deployment**, pilih **Penerapan cluster**. Anda tidak dapat mengubah mode penerapan untuk broker yang ada. Sebagai gantinya, Anda harus membuat broker baru dan menyalin pengaturan dari broker lama.