As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de segurança para o Amazon MQ

Os padrões de design a seguir podem melhorar a segurança de seu agente do Amazon MQ.

Para obter mais informações sobre como o Amazon MQ criptografa seus dados, bem como uma lista de protocolos compatíveis, consulte Proteção de dados.

Preferir agentes sem acessibilidade pública

Agentes criados sem acessibilidade pública não podem ser acessados de fora de sua VPC. Isso reduz significativamente a vulnerabilidade do agente a ataques do tipo Distributed Denial of Service (DDoS) da Internet pública. Para obter mais informações, consulte Acessando o console web do Amazon MQ broker sem acessibilidade pública neste guia e Como se preparar para ataques DDoS reduzindo sua superfície de ataque no Blog de Segurança da AWS.

Sempre configurar um mapa de autorização

Como o ActiveMQ não tem uma mapa de autorização configurado por padrão, qualquer usuário autenticado pode executar qualquer ação no agente. Portanto, uma prática recomendada é restringir as permissões por grupo. Para obter mais informações, consulte authorizationEntry.

Bloquear protocolos desnecessários com os grupos de segurança da VPC

Para melhorar a segurança, você deve restringir as conexões de portas e protocolos desnecessários configurando adequadamente o grupo de segurança do Amazon VPC. Por exemplo, para restringir o acesso à maioria dos protocolos enquanto concede acesso ao OpenWire e ao console da Web, você poderia conceder acesso somente às portas 61617 e 8162. Isso limita sua exposição, bloqueando protocolos que não estão sendo usados, ao mesmo tempo em que permite que o OpenWire e o console da Web funcionem normalmente.

Permita somente as portas de protocolos que estão sendo usados.

Para obter mais informações, consulte: