As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no Amazon MQ
O modelo de responsabilidade AWS compartilhada de se aplica à proteção de dados no Amazon MQ. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS
que usa. Para obter mais informações sobre privacidade de dados, consulte Privacidade de dados FAQ. Para obter informações sobre proteção de dados na Europa, consulte o Modelo de Responsabilidade AWS Compartilhada e GDPR a postagem no blog AWS de segurança.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS
as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use a autenticação multifator (MFA) com cada conta.
-
UseSSL/TLSpara se comunicar com AWS os recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
-
Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
-
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o Amazon MQ ou outro Serviços da AWS usando o console,, API AWS CLI, ou. AWS SDKs Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.
Tanto para os corretores Amazon MQ para ActiveMQ quanto para Amazon MQ para corretores RabbitMQ, não use nenhuma informação de identificação pessoal () ou outras PII informações confidenciais ou sigilosas para nomes de corretores ou nomes de usuário ao criar recursos por meio do console web do agente ou do Amazon MQ. API Os nomes de corretores e nomes de usuário podem ser acessados por outros AWS serviços, incluindo CloudWatch registros. Nomes de usuário do agente não devem ser usados para dados privados ou sigilosos.
Criptografia
Os dados de usuário armazenados no Amazon MQ são criptografados em repouso. A criptografia do Amazon MQ em repouso fornece segurança aprimorada ao criptografar seus dados usando chaves de criptografia armazenadas no AWS Key Management Service
(). KMS Esse serviço ajuda a reduzir a carga e a complexidade operacionais necessárias para proteger dados confidenciais. Com a criptografia de dados em repouso, você pode criar aplicativos confidenciais que atendem a requisitos de conformidade e regulamentação de criptografia.
Todas as conexões entre os agentes do Amazon MQ usam Transport layer Security (TLS) para fornecer criptografia em trânsito.
O Amazon MQ criptografa mensagens em repouso e em trânsito usando chaves de criptografia que gerencia e armazena com segurança. Para obter mais informações, consulte o Guia do desenvolvedor do AWS Encryption SDK.
Criptografia em repouso
O Amazon MQ se integra com AWS Key Management Service (KMS) para oferecer criptografia transparente no lado do servidor. O Amazon MQ sempre criptografa seus dados em repouso.
Ao criar um agente Amazon MQ para ActiveMQ ou um agente Amazon MQ para RabbitMQ, você pode especificar o que AWS KMS key deseja que o Amazon MQ use para criptografar seus dados em repouso. Se você não especificar uma KMS chave, o Amazon MQ cria uma KMS chave AWS própria para você e a usa em seu nome. Atualmente, o Amazon MQ oferece suporte a chaves simétricasKMS. Para obter mais informações sobre KMS chaves, consulte AWS KMS keys.
Ao criar um agente, você pode configurar o que o Amazon MQ utiliza para a sua chave de criptografia ao selecionar uma das seguintes ações.
-
KMSChave de propriedade do Amazon MQ (padrão) — A chave pertence e é gerenciada pelo Amazon MQ e não está na sua conta.
-
AWS KMSchave gerenciada — A KMS chave AWS gerenciada (aws/mq) é uma KMS chave em sua conta que é criada, gerenciada e usada em seu nome pelo Amazon MQ.
-
Selecione a KMS chave gerenciada pelo cliente existente — As KMS chaves gerenciadas pelo cliente são criadas e gerenciadas por você em AWS Key Management Service
(KMS).
-
A revogação de uma concessão não pode ser desfeita. Em vez disso, sugerimos excluir o agente se precisar revogar os direitos de acesso.
-
Para corretores do Amazon MQ para ActiveMQ que usam o Amazon Elastic File System (EFS) para armazenar dados de mensagens, se você revogar a concessão que dá EFS permissão à Amazon para usar as KMS chaves em sua conta, isso não ocorrerá imediatamente.
-
Para corretores Amazon MQ para RabbitMQ e Amazon MQ para ActiveMQ EBS que usam para armazenar dados de mensagens, se você desativar, agendar a exclusão ou revogar a concessão que dá EBS permissão à Amazon para usar KMS as chaves em sua conta, o Amazon MQ não poderá manter seu corretor e ele poderá mudar para um estado degradado.
-
Se você desativou ou programou a exclusão da chave, poderá reativá-la ou cancelar a exclusão e manter o agente.
-
A desativação de uma chave ou a revogação de uma concessão não ocorrerá imediatamente.
Ao criar um único agente de instância com uma KMS chave para o RabbitMQ, você verá dois CreateGrant eventos registrados. AWS CloudTrail O primeiro evento é o Amazon MQ criando uma concessão para a KMS chave. O segundo evento é EBS criar uma bolsa EBS para usar.
- mq_grant
-
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"userName": "AmazonMqConsole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-23T18:59:10Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "mq.amazonaws.com"
},
"eventTime": "2018-06-28T22:23:46Z",
"eventSource": "amazonmq.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.0",
"userAgent": "PostmanRuntime/7.1.5",
"requestParameters": {
"granteePrincipal": "mq.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
"retiringPrincipal": "mq.amazonaws.com",
"operations": [
"CreateGrant",
"Decrypt",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
- EBS grant creation
-
Você verá um evento para criação de EBS subsídios.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "mq.amazonaws.com"
},
"eventTime": "2023-02-23T19:09:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "mq.amazonaws.com",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"granteePrincipal": "mq.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-0b670f00f7d5417c0"
}
},
"operations": [
"Decrypt"
],
"retiringPrincipal": "ec2.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
Ao criar uma implantação de cluster com uma KMS chave para o RabbitMQ, você verá cinco CreateGrant eventos registrados. AWS CloudTrail Os dois primeiros eventos são criações de concessão para o Amazon MQ. Os próximos três eventos são subsídios criados EBS por for EBS to use.
- mq_grant
-
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"userName": "AmazonMqConsole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-23T18:59:10Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "mq.amazonaws.com"
},
"eventTime": "2018-06-28T22:23:46Z",
"eventSource": "amazonmq.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.0",
"userAgent": "PostmanRuntime/7.1.5",
"requestParameters": {
"granteePrincipal": "mq.amazonaws.com",
"keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2",
"retiringPrincipal": "mq.amazonaws.com",
"operations": [
"CreateGrant",
"Encrypt",
"Decrypt",
"ReEncryptFrom",
"ReEncryptTo",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"DescribeKey"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
- mq_rabbit_grant
-
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
"accountId": "111122223333",
"userName": "AmazonMqConsole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-23T18:59:10Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "mq.amazonaws.com"
},
"eventTime": "2018-06-28T22:23:46Z",
"eventSource": "amazonmq.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "203.0.113.0",
"userAgent": "PostmanRuntime/7.1.5",
"requestParameters": {
"granteePrincipal": "mq.amazonaws.com",
"retiringPrincipal": "mq.amazonaws.com",
"operations": [
"DescribeKey"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
- EBS grant creation
-
Você verá três eventos para criação de EBS subsídios.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "mq.amazonaws.com"
},
"eventTime": "2023-02-23T19:09:40Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "mq.amazonaws.com",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"granteePrincipal": "mq.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"constraints": {
"encryptionContextSubset": {
"aws:ebs:id": "vol-0b670f00f7d5417c0"
}
},
"operations": [
"Decrypt"
],
"retiringPrincipal": "ec2.us-east-1.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
Para obter mais informações sobre KMS chaves, consulte AWS KMS keyso Guia do AWS Key Management Service desenvolvedor.
Criptografia em trânsito
Amazon MQ para ActiveMQ: O Amazon MQ para ActiveMQ exige uma forte Transport Layer TLS Security () e criptografa os dados em trânsito entre os agentes da sua implantação do Amazon MQ. Todos os dados que passam entre os agentes do Amazon MQ são criptografados usando o forte Transport Layer Security (). TLS Isso se aplica a todos os protocolos disponíveis.
Amazon MQ para RabbitMQ: O Amazon MQ para RabbitMQ exige uma criptografia forte de Transport Layer Security () para todas as conexões de clientes. TLS O tráfego de replicação do cluster do RabbitMQ transita apenas pelo seu corretor VPC e todo o tráfego de rede entre os AWS data centers é criptografado de forma transparente na camada física. Atualmente, os agentes em clusters do Amazon MQ para RabbitMQ não são compatíveis com a criptografia entre nós para replicação de clusters. Para saber mais data-in-transit, consulte Criptografar dados em repouso e em trânsito.
Amazon MQ para protocolos do ActiveMQ
Você pode acessar seus corretores ActiveMQ usando os seguintes protocolos com habilitado: TLS
O ActiveMQ no Amazon MQ é compatível com os seguintes pacotes de criptografia:
TLS_ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384
TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384
TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA
TLS_ _ DHE _ RSA WITH _ AES GCM _256_ _ SHA384
TLS_ _ DHE _ RSA WITH _ AES CBC _256_ _ SHA256
TLS_ _ DHE _ RSA WITH _ AES CBC _256_ _ SHA
TLS_ _ RSA WITH _ AES GCM _256_ _ SHA384
TLS_ _ RSA WITH _ AES CBC _256_ _ SHA256
TLS_ _ RSA WITH _ AES CBC _256_ _ SHA
TLS_ ECDHE _ _ RSA WITH _ AES GCM _128_ _ SHA256
TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA256
TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA
TLS_ DHE _ _ RSA WITH _ AES GCM _128_ _ SHA256
TLS_ DHE _ _ RSA WITH _ AES CBC _128_ _ SHA256
TLS_ DHE _ _ RSA WITH _ AES CBC _128_ _ SHA
TLS_ _ RSA WITH _ AES GCM _128_ _ SHA256
TLS_ _ RSA WITH _ AES CBC _128_ _ SHA256
TLS_ _ RSA WITH _ AES CBC _128_ _ SHA
Amazon MQ para protocolos RabbitMQ
Você pode acessar seus corretores RabbitMQ usando os seguintes protocolos com habilitado: TLS
O RabbitMQ no Amazon MQ é compatível com os seguintes pacotes de criptografia:
