本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于亚马逊 MQ 的 Security Hub CSPM 控件
这些 AWS Security Hub CSPM 控制措施用于评估 Amazon MQ 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch
**相关要求:**NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4、PCI DSS v4.0.1/10.3.3
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::AmazonMQ::Broker`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon MQ ActiveMQ 代理是否将审计日志流式传输到亚马逊日志。 CloudWatch 如果代理不将审核日志流式传输到日 CloudWatch 志,则控制失败。
通过将 ActiveMQ 代理日志发布 CloudWatch 到日志,您可以 CloudWatch 创建警报和指标,以提高安全相关信息的可见性。
### 修复
*要将 ActiveMQ 代理日志流式传输 CloudWatch 到日志,请参阅亚马逊 MQ 开发者指南中的为 [Amazon MQ 日志配置 Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html)。*
## [MQ.3] Amazon MQ 代理应启用次要版本自动升级
**重要**
Security Hub CSPM 于 2026 年 1 月取消了该控制权。有关更多信息,请参阅 [Security Hub CSPM 控件的更改日志](controls-change-log.md)。
**相关要求:**NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/6.3.3
**类别:**识别 > 漏洞、补丁和版本管理
**严重性:**中
**资源类型:**`AWS::AmazonMQ::Broker`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件可检查 Amazon MQ 代理是否启用了次要版本自动升级。如果代理未启用次要版本自动升级,则此控件将失败。
由于 Amazon MQ 发布并支持新的代理引擎版本,这些更改向后兼容现有应用程序,不会弃用现有功能。代理引擎版本自动更新可保护您免受安全风险,帮助修复错误并改进功能。
**注意**
与次要版本自动升级关联的代理已安装最新补丁且不再受支持时,您必须采取手动操作进行升级。
### 修复
要为 MQ 代理启用次要版本自动升级,请参阅《Amazon MQ Developer Guide》**中的 [ Automatically upgrading the minor engine version](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html)。
## [MQ.4] 应标记 Amazon MQ 代理
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::AmazonMQ::Broker`
**AWS Config 规则:**`tagged-amazonmq-broker`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件可检查 Amazon MQ 代理是否具有带特定键的标签,这些键在 `requiredTagKeys` 参数中进行定义。如果代理没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键,则此控件将失败。如果未提供 `requiredTagKeys` 参数,则此控件仅检查是否存在标签键,如果代理未使用任何键进行标记,则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向 Amazon MQ 代理添加标签,请参阅《Amazon MQ Developer Guide》**中的 [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html)。
## [MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 高可用性
**严重性:**低
**资源类型:**`AWS::AmazonMQ::Broker`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon MQ ActiveMQ 代理的部署模式是否设置为主动/备用。如果将单实例代理(默认启用)设置为部署模式,则控制失败。
主动/备用部署为 AWS 区域中的 Amazon MQ ActiveMQ 代理提供高可用性。主动/备用部署模式包括两个不同可用区中的两个代理实例,以冗余对配置。这些代理与应用程序同步通信,这可以减少发生故障时的停机时间和数据丢失。
### 修复
*要创建 active/standby 具有部署模式的新 ActiveMQ 代理,请参阅亚马逊 MQ 开发者指南中的[创建和配置 ActiveMQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) 代理。*对于**部署模式**,选择**主动/备用代理**。您无法变更现有代理的部署模式。相反,您必须创建一个新的代理并复制旧代理的设置。
## [MQ.6] RabbitMQ 代理应该使用集群部署模式
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 高可用性
**严重性:**低
**资源类型:**`AWS::AmazonMQ::Broker`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Amazon MQ RabbitMQ 代理的部署模式是否设置为集群部署。如果将单实例代理(默认启用)设置为部署模式,则控制失败。
集群部署为 AWS 区域中的 Amazon MQ RabbitMQ 代理提供了高可用性。集群部署是三个 RabbitMQ 代理节点的逻辑分组,每个节点都有自己的 Amazon Elastic Block Store(Amazon EBS)卷和共享状态。集群部署确保数据被复制到集群中的所有节点,这可以减少故障时的停机时间和数据丢失。
### 修复
要创建具有集群部署模式的新 RabbitMQ 代理,请参阅 [Amazon MQ 开发人员指南](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)中的*创建和连接 RabbitMQ 代理*。对于**部署模式**,选择**集群部署**。您无法变更现有代理的部署模式。相反,您必须创建一个新的代理并复制旧代理的设置。