Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Controles do Security Hub para o Amazon MQ

PDF
RSS
Modo de foco
Controles do Security Hub para o Amazon MQ - AWS Security Hub
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada[MQ.4] Os agentes do Amazon MQ devem ser marcados[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon MQ.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch

Requisitos relacionados: NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config : mq-cloudwatch-audit-log-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um agente do Amazon MQ ActiveMQ transmite logs de auditoria para o Amazon Logs. CloudWatch O controle falhará se o agente não transmitir os registros de auditoria para o CloudWatch Logs.

Ao publicar os registros do agente ActiveMQ no Logs CloudWatch , você pode CloudWatch criar alarmes e métricas que aumentam a visibilidade das informações relacionadas à segurança.

Correção

Para transmitir os logs do agente ActiveMQ para o Logs, consulte Configurando o Amazon MQ CloudWatch para registros do ActiveMQ no Guia do Desenvolvedor do Amazon MQ.

[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada

Requisitos relacionados: NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config : mq-auto-minor-version-upgrade-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um agente do Amazon MQ têm a atualização automática de versões secundárias habilitada. O controle falhará se o corretor não tiver a atualização automática de versões secundárias habilitada.

À medida que o Amazon MQ lança e torna-se compatível com novas versões do mecanismo de agente, as alterações são compatíveis com as versões anteriores de uma aplicação existente e não tornam a funcionalidade existente obsoleta. As atualizações automáticas da versão do mecanismo de agente protegem você contra riscos de segurança, ajudam a corrigir erros e aprimoram a funcionalidade.

nota

Quando o agente associado à atualização automática de versões secundárias está em sua correção mais recente e torna-se incompatível, você deve fazer a atualização manualmente.

Correção

Para habilitar a atualização automática de versões secundárias para um agente MQ, consulte Automatically upgrading the minor engine version no Amazon MQ Developer Guide.

[MQ.4] Os agentes do Amazon MQ devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

Regra AWS Config : tagged-amazonmq-broker (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem aos requisitos da AWS No default value

Esse controle verifica se um agente do Amazon MQ tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o agente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o agente não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um agente do Amazon MQ, consulte Tagging resources no Amazon MQ Developer Guide.

[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config : mq-active-deployment-mode

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o modo de implantação de um agente Amazon MQ ActiveMQ está definido como ativo/em espera. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.

A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. O modo de implantação ativo/em espera inclui duas instâncias de agente em duas zonas de disponibilidade diferentes, configuradas em um par redundante. Esses agentes se comunicam de forma síncrona com seu aplicativo, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.

Correção

Para criar um novo agente ActiveMQ com modo de implantação ativo/em espera, consulte Criar e configurar um agente ActiveMQ no Guia do desenvolvedor do Amazon MQ. Em Modo de implantação, escolha Agente ativo/em espera. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, você deve criar um novo agente e copiar as configurações do agente antigo.

[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: baixa

Tipo de recurso: AWS::AmazonMQ::Broker

Regra do AWS Config : mq-rabbit-deployment-mode

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o modo de implantação de um agente Amazon MQ RabbitMQ está definido como implantação em cluster. O controle falhará se um agente de instância única (ativado por padrão) for definido como o modo de implantação.

A implantação ativa/em espera fornece alta disponibilidade para seus agentes do Amazon MQ ActiveMQ em uma Região da AWS. A implantação do cluster é um agrupamento lógico de três nós de agente do RabbitMQ, cada um com seu próprio volume do Amazon Elastic Block Store (Amazon EBS) e um estado compartilhado. A implantação do cluster garante que os dados sejam replicados para todos os nós do cluster, o que pode reduzir o tempo de inatividade e a perda de dados em caso de falha.

Correção

Para criar um novo agente RabbitMQ com modo de implantação em cluster, consulte Criar e conectar um agente RabbitMQ no Guia do desenvolvedor do Amazon MQ. Em Modo de implantação, escolha Implantação em cluster. Não é possível alterar o modo de implantação de um agente existente. Em vez disso, você deve criar um novo agente e copiar as configurações do agente antigo.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.