Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Amazon MQ の Security Hub コントロール

PDF
RSS
フォーカスモード
Amazon MQ の Security Hub コントロール - AWS Security Hub
[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

これらの AWS Security Hub コントロールは、Amazon MQ サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[MQ.2] ActiveMQ ブローカーは監査ログを CloudWatch にストリーミングする必要があります

関連する要件: NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4、PCI DSS v4.0.1/10.3.3

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::AmazonMQ::Broker

AWS Config ルール : mq-cloudwatch-audit-log-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MQ ActiveMQ ブローカーが監査ログを Amazon CloudWatch Logs にストリーミングするかどうかをチェックします。ブローカーが監査ログを CloudWatch Logs にストリーミングしていない場合、コントロールは失敗します。

ActiveMQ ブローカーログを CloudWatch Logs に発行することで、セキュリティ関連情報の可視性を高める CloudWatch アラームとメトリクスを作成できます。

修正

ActiveMQ ブローカーログを CloudWatch Logs にストリーミングするには、「Amazon MQ デベロッパーガイド」の「Amazon MQ for ActiveMQ ログの設定」を参照してください。

[MQ.3] Amazon MQ ブローカーでは、自動マイナーバージョンアップグレードが有効になっている必要があります

関連する要件: NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/6.3.3

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ : AWS::AmazonMQ::Broker

AWS Config ルール : mq-auto-minor-version-upgrade-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MQ ブローカーの自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。ブローカーの自動マイナーバージョンアップグレードが有効になっていない場合、コントロールは失敗します。

Amazon MQ が新しいブローカーエンジンバージョンをリリースしてサポートしているため、変更は既存のアプリケーションと下位互換性があり、既存の機能を非推奨にすることはありません。自動ブローカーエンジンバージョン更新は、セキュリティリスクから保護し、バグを修正し、機能を改善します。

注記

自動マイナーバージョンアップグレードに関連付けられたブローカーが最新のパッチにあり、サポートされない場合は、アップグレードのために手動アクションを実行する必要があります。

修正

MQ ブローカーの自動マイナーバージョンアップグレードを有効にするには、「Amazon MQ デベロッパーガイド」の「マイナーエンジンバージョンの自動アップグレード」を参照してください。

[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::AmazonMQ::Broker

AWS Config ルール: tagged-amazonmq-broker (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、Amazon MQ ブローカーにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ブローカーにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ブローカーがキーでタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC とは AWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

Amazon MQ ブローカーにタグを追加するには、「Amazon MQ デベロッパーガイド」の「リソースのタグ付け」を参照してください。

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ : AWS::AmazonMQ::Broker

AWS Config ルール : mq-active-deployment-mode

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MQ ActiveMQ ブローカーのデプロイモードがアクティブ/スタンバイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。

アクティブ/スタンバイデプロイにより、 AWS リージョン内の Amazon MQ ActiveMQ ブローカーの可用性が高くなります。アクティブ/スタンバイのデプロイモードには、2 つの異なるアベイラビリティーゾーンの 2 つのブローカーインスタンスが冗長ペアとして設定されています。これらのブローカーはアプリケーションと同期して通信するため、障害発生時のダウンタイムやデータ損失を減らすことができます。

修正

アクティブ/スタンバイデプロイモードで新しい ActiveMQ ブローカーを作成するには、「Amazon MQ デベロッパーガイド」の「ActiveMQ ブローカーの作成と設定」を参照してください。[デプロイモード] で、[アクティブ/スタンバイブローカー] を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ : AWS::AmazonMQ::Broker

AWS Config ルール : mq-rabbit-deployment-mode

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon MQ RabbitMQ ブローカーのデプロイモードがクラスターデプロイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。

クラスターデプロイにより、 AWS リージョン内の Amazon MQ RabbitMQ ブローカーの可用性が高くなります。クラスターデプロイは、3 つの RabbitMQ ブローカーノードを論理的にグループ化したもので、それぞれに独自の Amazon Elastic Block Store (Amazon EBS) ボリュームと 1 つの共有状態があります。クラスターデプロイは、データがクラスター内の全ノードに確実に複製され、障害発生時のダウンタイムとデータ損失が減少するようにします。

修正

クラスターデプロイモードで新しい RabbitMQ ブローカーを作成するには、「Amazon MQ デベロッパーガイド」の「RabbitMQ ブローカーの作成と接続」を参照してください。[デプロイモード] で、[クラスターデプロイ] を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.