翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MQ の Security Hub コントロール
これら AWS Security Hub コントロールは、Amazon MQ サービスとリソースを評価します。
これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性。
[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch
関連する要件: NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::AmazonMQ::Broker
AWS Config ルール: mq-cloudwatch-audit-log-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon MQ ActiveMQ ブローカーが監査ログを Amazon CloudWatch Logs にストリーミングするかどうかをチェックします。ブローカーが監査ログを CloudWatch Logs にストリーミングしない場合、コントロールは失敗します。
ActiveMQ ブローカーログを CloudWatch Logs に発行することで、セキュリティ関連情報の可視性を高める CloudWatch アラームとメトリクスを作成できます。
修正
ActiveMQ ブローカーログを CloudWatch ログにストリーミングするには、Amazon MQ デベロッパーガイド」の「Amazon MQ for ActiveMQ ログの設定」を参照してください。 Amazon MQ
[MQ.3] Amazon MQ ブローカーでは、マイナーバージョンの自動アップグレードを有効にする必要があります
関連する要件: NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 低
リソースタイプ : AWS::AmazonMQ::Broker
AWS Config ルール: mq-auto-minor-version-upgrade-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon MQ ブローカーで自動マイナーバージョンアップグレードが有効になっているかどうかをチェックします。ブローカーで自動マイナーバージョンアップグレードが有効になっていない場合、コントロールは失敗します。
Amazon MQ が新しいブローカーエンジンバージョンをリリースしてサポートしているため、変更は既存のアプリケーションと下位互換性があり、既存の機能を非推奨にしません。自動ブローカーエンジンバージョン更新により、セキュリティリスクからの保護、バグの修復、機能の向上が可能になります。
注記
自動マイナーバージョンアップグレードに関連付けられたブローカーが最新のパッチにあり、サポートされなくなった場合は、アップグレードを手動で実行する必要があります。
修正
MQ ブローカーの自動マイナーバージョンアップグレードを有効にするには、Amazon MQ デベロッパーガイド」の「マイナーエンジンバージョンの自動アップグレード」を参照してください。
[MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::AmazonMQ::Broker
AWS Config ルール: tagged-amazonmq-broker (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 |
No default value
|
このコントロールは、Amazon MQ ブローカーにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ブローカーにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ブローカーがキーでタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
Amazon MQ ブローカーにタグを追加するには、Amazon MQ デベロッパーガイド」の「リソースのタグ付け」を参照してください。
[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります
関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13 (5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 低
リソースタイプ : AWS::AmazonMQ::Broker
AWS Config ルール: mq-active-deployment-mode
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon MQ ActiveMQ ブローカーのデプロイモードがアクティブ/スタンバイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。
アクティブ/スタンバイデプロイは、 の Amazon MQ ActiveMQ ブローカーに高可用性を提供します。 AWS リージョン。 アクティブ/スタンバイデプロイモードには、冗長ペアで設定された 2 つの異なるアベイラビリティーゾーンに 2 つのブローカーインスタンスが含まれます。これらのブローカーはアプリケーションと同期して通信するため、障害発生時のダウンタイムやデータ損失を減らすことができます。
修正
アクティブ/スタンバイデプロイモードで新しい ActiveMQ ブローカーを作成するには、「Amazon MQ デベロッパーガイド」の「ActiveMQ ブローカーの作成と設定」を参照してください。[デプロイモード] で、[アクティブ/スタンバイブローカー] を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。
[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。
関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 低
リソースタイプ : AWS::AmazonMQ::Broker
AWS Config ルール: mq-rabbit-deployment-mode
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon MQ RabbitMQ ブローカーのデプロイモードがクラスターデプロイに設定されているかどうかを確認します。単一インスタンスブローカー (デフォルトで有効) がデプロイモードに設定されている場合、コントロールは失敗します。
クラスターデプロイは、 の Amazon MQ RabbitMQ ブローカーに高可用性を提供します。 AWS リージョン。 クラスターデプロイは、3 つの RabbitMQ ブローカーノードの論理グループであり、それぞれに独自の Amazon Elastic Block Store (Amazon EBS) ボリュームと共有状態があります。クラスターデプロイは、データがクラスター内の全ノードに確実に複製され、障害発生時のダウンタイムとデータ損失が減少するようにします。
修正
クラスターデプロイモードで新しい RabbitMQ ブローカーを作成するには、「Amazon MQ デベロッパーガイド」の「RabbitMQ ブローカーの作成と接続」を参照してください。[デプロイモード] で、[クラスターデプロイ] を選択します。既存のブローカーのデプロイモードは変更できません。代わりに、新しいブローカーを作成し、古いブローカーから設定をコピーする必要があります。
