Protezione dei dati in Amazon MQ - Amazon MQ
CrittografiaCrittografia a riposoCrittografia in transito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon MQ

Il modello di responsabilità AWS condivisa si applica alla protezione dei dati in Amazon MQ. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Amazon MQ o altro Servizi AWS utilizzando la consoleAPI, AWS CLI, o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali nel modulo URL per convalidare la tua richiesta a quel server.

Sia per i broker Amazon MQ for ActiveMQ che Amazon MQ for RabbitMQ, non utilizzare informazioni di identificazione personale PII () o altre informazioni riservate o sensibili per i nomi o i nomi utente dei broker durante la creazione di risorse tramite la console web del broker o Amazon MQ. API I nomi utente e i nomi utente dei broker sono accessibili ad altri servizi, inclusi i log. AWS CloudWatch I nomi utenti dei broker non sono destinati ad essere utilizzati per dati privati o sensibili.

Crittografia

I dati utente memorizzati in Amazon MQ sono crittografati a riposo. La crittografia a riposo di Amazon MQ offre una maggiore sicurezza crittografando i dati utilizzando chiavi di crittografia archiviate in AWS Key Management Service (KMS). Questo servizio consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati inattivi consente di creare applicazioni sicure che rispettano rigorosi requisiti normativi e di conformità per la crittografia.

Tutte le connessioni tra broker Amazon MQ utilizzano Transport layer Security (TLS) per fornire la crittografia in transito.

Amazon MQ crittografa i messaggi a riposo e in transito utilizzando chiavi di crittografia che gestisce e memorizza in modo sicuro. Per ulteriori informazioni, consulta la Guida per gli sviluppatori di AWS Encryption SDK.

Crittografia a riposo

Amazon MQ si integra con AWS Key Management Service (KMS) per offrire una crittografia trasparente lato server. Amazon MQ esegue sempre la crittografia dei dati a riposo.

Quando crei un broker Amazon MQ for ActiveMQ o un broker Amazon MQ per RabbitMQ, puoi specificare cosa vuoi che Amazon MQ utilizzi per crittografare i AWS KMS key tuoi dati inattivi. Se non specifichi una KMS chiave, Amazon MQ crea una KMS chiave AWS di proprietà per te e la utilizza per tuo conto. Amazon MQ attualmente supporta le chiavi simmetricheKMS. Per ulteriori informazioni sulle KMS chiavi, consulta. AWS KMS keys

Quando si crea un broker, è possibile configurare ciò che Amazon MQ impiega per la chiave di crittografia selezionando una delle opzioni seguenti.

  • KMSChiave di proprietà di Amazon MQ (impostazione predefinita): la chiave è di proprietà e gestita da Amazon MQ e non si trova nel tuo account.

  • AWS KMSchiave gestita: la KMS chiave AWS gestita (aws/mq) è una KMS chiave del tuo account che viene creata, gestita e utilizzata per tuo conto da Amazon MQ.

  • Seleziona la KMS chiave gestita dal cliente esistente: KMS le chiavi gestite dal cliente vengono create e gestite da te in AWS Key Management Service (KMS).

Importante

  • Non è possibile annullare la revoca di una concessione. Se è necessario revocare i diritti di accesso, suggeriamo invece di eliminare il broker.

  • Per i broker Amazon MQ for ActiveMQ che utilizzano Amazon Elastic File System EFS () per archiviare i dati dei messaggi, se revochi la concessione che autorizza EFS Amazon a KMS utilizzare le chiavi nel tuo account, la revoca non avrà luogo immediatamente.

  • Per i broker Amazon MQ for RabbitMQ e Amazon MQ for ActiveMQ che archiviano i dati dei messaggi, se disabiliti, pianifichi l'eliminazione o revochi la concessione che EBS autorizza Amazon a utilizzare EBS le chiavi nel KMS tuo account, Amazon MQ non può gestire il broker e potrebbe passare a uno stato degradato.

  • Se hai disattivato la chiave o pianificato l'eliminazione della chiave, puoi riattivarla o annullare l'eliminazione della chiave e mantenere il tuo broker aggiornato.

  • La disabilitazione di una chiave o la revoca di una concessione non avverrà immediatamente.

Quando crei un broker a istanza singola con una KMS chiave per RabbitMQ, vedrai due eventi registrati. CreateGrant AWS CloudTrail Il primo evento è la creazione di una sovvenzione da parte di Amazon MQ per la KMS chiave. Il secondo evento consiste EBS nella creazione di una concessione EBS da utilizzare.

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
EBS grant creation

Verrà visualizzato un evento per la creazione di EBS sovvenzioni. 


                                    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Quando si crea una distribuzione di cluster con una KMS chiave per RabbitMQ, verranno registrati cinque CreateGrant eventi. AWS CloudTrail I primi due eventi sono creazioni di sovvenzioni per Amazon MQ. I tre eventi successivi sono sovvenzioni create da EBS for to use. EBS

mq_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "CreateGrant",
            "Encrypt",
            "Decrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "DescribeKey"
        ]
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
mq_rabbit_grant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
                "accountId": "111122223333",
                "userName": "AmazonMqConsole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-23T18:59:10Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "retiringPrincipal": "mq.amazonaws.com",
        "operations": [
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
           "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}
EBS grant creation

Vedrai tre eventi per la creazione delle EBS sovvenzioni. 


                                      {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "mq.amazonaws.com"
    },
    "eventTime": "2023-02-23T19:09:40Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "mq.amazonaws.com",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "granteePrincipal": "mq.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "constraints": {
            "encryptionContextSubset": {
                "aws:ebs:id": "vol-0b670f00f7d5417c0"
            }
        },
        "operations": [
            "Decrypt"
        ],
        "retiringPrincipal": "ec2.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Per ulteriori informazioni sulle KMS chiavi, consulta AWS KMS keysla Guida per AWS Key Management Service gli sviluppatori.

Crittografia in transito

Amazon MQ per ActiveMQ: Amazon MQ per ActiveMQ richiede una solida Transport Layer Security TLS () e crittografa i dati in transito tra i broker della tua distribuzione Amazon MQ. Tutti i dati che passano tra i broker Amazon MQ sono crittografati utilizzando un potente Transport Layer Security (TLS). Questo vale per tutti i protocolli disponibili.

Amazon MQ per RabbitMQ: Amazon MQ for RabbitMQ richiede una forte crittografia Transport Layer Security (TLS) per tutte le connessioni client. Il traffico di replica del cluster RabbitMQ transita solo verso il tuo broker VPC e tutto il traffico di rete tra i data AWS center è crittografato in modo trasparente a livello fisico. I broker in cluster Amazon MQ per RabbitMQ attualmente non supportano la crittografia tra nodi per la replica dei cluster. Per ulteriori informazioni, consulta Encrypting Data-at-Rest data-in-transit and -in-Transit.

Protocolli Amazon MQ per ActiveMQ

Puoi accedere ai tuoi broker ActiveMQ utilizzando i seguenti protocolli con enabled: TLS

ActiveMQ su Amazon MQ supporta i pacchetti di crittografia seguenti:

  • TLS_ _ _ _ ECDHE _256_ _ RSA WITH AES GCM SHA384

  • TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA384

  • TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA

  • TLS_ _ _ DHE _ RSA _256_ WITH _ AES GCM SHA384

  • TLS_ _ _ DHE _ RSA _256_ WITH _ AES CBC SHA256

  • TLS_ _ _ DHE _ RSA _256_ WITH _ AES CBC SHA

  • TLS_ _ _ RSA _256_ WITH _ AES GCM SHA384

  • TLS_ _ _ RSA _256_ WITH _ AES CBC SHA256

  • TLS_ _ _ RSA _256_ WITH _ AES CBC SHA

  • TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES GCM SHA256

  • TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES CBC SHA256

  • TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES CBC SHA

  • TLS_ _ _ DHE _ RSA _128_ WITH _ AES GCM SHA256

  • TLS_ _ _ DHE _ RSA _128_ WITH _ AES CBC SHA256

  • TLS_ _ _ DHE _ RSA _128_ WITH _ AES CBC SHA

  • TLS_ _ _ RSA _128_ WITH _ AES GCM SHA256

  • TLS_ _ _ RSA _128_ WITH _ AES CBC SHA256

  • TLS_ _ _ RSA _128_ WITH _ AES CBC SHA

Protocolli Amazon MQ per RabbitMQ

Puoi accedere ai tuoi broker RabbitMQ utilizzando i seguenti protocolli con enabled: TLS

RabbitMQ su Amazon MQ supporta i pacchetti di crittografia seguenti:

  • TLS_ _ _ _ ECDHE _256_ _ RSA WITH AES GCM SHA384

  • TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES GCM SHA256