

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Práticas recomendadas de segurança para o Amazon MQ
<a name="using-amazon-mq-securely"></a>

Os padrões de design a seguir podem melhorar a segurança de seu agente do Amazon MQ.

**Topics**
+ [Preferir agentes sem acessibilidade pública](#prefer-brokers-without-public-accessibility)
+ [Sempre configurar um mapa de autorização](#always-configure-authorization-map)
+ [Bloquear protocolos desnecessários com os grupos de segurança da VPC](#amazon-mq-vpc-security-groups)

 Para obter mais informações sobre como o Amazon MQ criptografa seus dados, bem como uma lista de protocolos compatíveis, consulte [Proteção de dados](data-protection.md). 

## Preferir agentes sem acessibilidade pública
<a name="prefer-brokers-without-public-accessibility"></a>

Agentes criados sem acessibilidade pública não podem ser acessados de fora de sua [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html). Isso reduz muito a suscetibilidade do seu corretor a ataques distribuídos de negação de serviço (DDoS) da Internet pública. Para obter mais informações, consulte [Como ajudar a se preparar para ataques DDo S reduzindo sua superfície de ataque](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/) no blog AWS de segurança.

## Sempre configurar um mapa de autorização
<a name="always-configure-authorization-map"></a>

Como o ActiveMQ não tem uma mapa de autorização configurado por padrão, qualquer usuário autenticado pode executar qualquer ação no agente. Portanto, uma prática recomendada é restringir as permissões *por grupo*. Para obter mais informações, consulte `authorizationEntry`.

**Importante**  
Se você especificar um mapa de autorização que não inclua o `activemq-webconsole`, você não poderá usar o Console da Web do ActiveMQ porque o grupo não estará autorizado a enviar mensagens ou receber mensagens do agente do Amazon MQ.

## Bloquear protocolos desnecessários com os grupos de segurança da VPC
<a name="amazon-mq-vpc-security-groups"></a>

Para aprimorar a segurança dos agentes privados, você deve restringir as conexões de protocolos desnecessários configurando adequadamente o grupo de segurança do Amazon VPC. Por exemplo, para restringir o acesso à maioria dos protocolos OpenWire e, ao mesmo tempo, permitir o acesso ao console web, você pode permitir o acesso somente a 61617 e 8162. Isso limita sua exposição bloqueando protocolos que você não está usando OpenWire e, ao mesmo tempo, permitindo que o console web funcione normalmente.

Permita somente as portas de protocolos que estão sendo usados.
+ AMQP: 5671
+ MQTT: 8883
+ OpenWire: 61617
+ STOMP: 61614
+ WebSocket: 61619

Para obter mais informações, consulte:
+ [Grupos de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Grupo de segurança padrão para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup)
+ [Como trabalhar com grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)