翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon MQ のセキュリティベストプラクティス
以下の設計パターンは、Amazon MQ ブローカーのセキュリティを向上させることができます。
**Topics**
+ [パブリックアクセスビリティのないブローカーを優先する](#prefer-brokers-without-public-accessibility)
+ [認可マップを常に設定する](#always-configure-authorization-map)
+ [VPC セキュリティグループを使用して不要なプロトコルをブロックする](#amazon-mq-vpc-security-groups)
Amazon MQ がデータを暗号化する方法、およびサポートされるプロトコルのリストの詳細については、「[データ保護](data-protection.md)」を参照してください。
## パブリックアクセスビリティのないブローカーを優先する
パブリックアクセシビリティなしで作成されたブローカーには、[VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html) 外からアクセスできません。これにより、ブローカーがパブリックインターネットからの分散サービス妨害 (DDoS) 攻撃を受ける可能性が大幅に低減されます。詳細については、 AWS セキュリティブログの[「攻撃領域を減らして DDoS 攻撃に備える方法](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/)」を参照してください。
## 認可マップを常に設定する
デフォルトでは、ActiveMQ には承認された認可マップがないため、認証されたすべてのユーザーが、ブローカーであらゆるアクションを実行することができます。したがって、*グループごと*にアクセス許可を制限することがベストプラクティスとなります。詳細については、「`authorizationEntry`」を参照してください。
**重要**
`activemq-webconsole` グループが含まれない認可マップを指定する場合、Amazon MQ ブローカーにメッセージを送信する権限、またはブローカーからメッセージを受信する権限がグループにないことから、ActiveMQ ウェブコンソールは使用できません。
## VPC セキュリティグループを使用して不要なプロトコルをブロックする
プライベートブローカーのセキュリティを向上させるには、Amazon VPC セキュリティグループを正しく設定して、不要なプロトコルとポートの接続を制限する必要があります。例えば、OpenWire および ウェブコンソールへのアクセスを許可する一方で、ほとんどのプロトコルへのアクセスを制限するには、61617 および 8162 へのアクセスのみを許可することができます。これは、OpenWire とウェブコンソールが正常に機能することを可能にしながら、使用していないプロトコルをブロックすることによって、露出を制限します。
使用しているプロトコルポートのみを許可します。
+ AMQP: 5671
+ MQTT: 8883
+ OpenWire: 61617
+ STOMP: 61614
+ WebSocket: 61619
詳細については、以下を参照してください。
+ [VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [VPC のデフォルトセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup)
+ [セキュリティグループを操作する](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)