

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Best practice di sicurezza per Amazon MQ
<a name="using-amazon-mq-securely"></a>

I seguenti modelli di progettazione possono migliorare la sicurezza del broker Amazon MQ.

**Topics**
+ [Preferire broker senza accesso pubblico](#prefer-brokers-without-public-accessibility)
+ [Configurare sempre una mappa di autorizzazione](#always-configure-authorization-map)
+ [Bloccare i protocolli non necessari con i gruppi di sicurezza VPC](#amazon-mq-vpc-security-groups)

 Per maggiori informazioni su come Amazon MQ crittografa i dati e per un elenco dei protocolli supportati, consultare [Protezione dei dati](data-protection.md). 

## Preferire broker senza accesso pubblico
<a name="prefer-brokers-without-public-accessibility"></a>

I broker creati senza accessibilità pubblica sono accessibili solo dal [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html). Ciò riduce notevolmente la suscettibilità del broker agli attacchi Distributed Denial of Service (DDoS) provenienti dalla rete Internet pubblica. Per ulteriori informazioni, consulta [Come prepararsi agli attacchi DDo S riducendo la superficie di attacco](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/) sul AWS Security Blog.

## Configurare sempre una mappa di autorizzazione
<a name="always-configure-authorization-map"></a>

Poiché ActiveMQ non dispone di una mappa di autorizzazione configurata per impostazione predefinita, qualsiasi utente autenticato è in grado di eseguire qualsiasi azione sul broker. Pertanto, una best practice prevede di limitare le autorizzazioni *per gruppo*. Per ulteriori informazioni, consulta `authorizationEntry`.

**Importante**  
Se si specifica una mappa di autorizzazione che non include il gruppo `activemq-webconsole`, non è possibile utilizzare ActiveMQ Web Console perché il gruppo non è autorizzato a inviare messaggi o ricevere messaggi dalil broker Amazon MQ.

## Bloccare i protocolli non necessari con i gruppi di sicurezza VPC
<a name="amazon-mq-vpc-security-groups"></a>

Per migliorare la sicurezza dei broker privati, devi limitare le connessioni di protocolli e porte non necessari configurando correttamente il tuo Amazon VPC Security Group. Ad esempio, per limitare l'accesso alla maggior parte dei protocolli OpenWire e consentire l'accesso alla console Web, puoi consentire l'accesso solo a 61617 e 8162. Ciò limita l'esposizione bloccando i protocolli non utilizzati OpenWire e consentendo al contempo il normale funzionamento della console Web.

Consenti solo le porte dei protocolli che stai utilizzando.
+ AMQP: 5671
+ MQTT: 8883
+ OpenWire: 61617
+ STOMP: 61614
+ WebSocket: 61619

Per ulteriori informazioni, consultare:
+ [Gruppi di sicurezza per VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Gruppo di sicurezza predefinito per VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup)
+ [Utilizzo dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)