Amazon MQ 的安全最佳實務 - Amazon MQ

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon MQ 的安全最佳實務

以下設計模式可以改善 Amazon MQ 代理程式的安全性。

如需 Amazon MQ 如何加密資料的詳細資訊,以及支援的通訊協定清單,請參閱資料保護

偏好無法公開存取的代理程式

建立的代理程式若無法公開存取,則您無法從 VPC 外存取它們。這可讓您的代理程式更不易受到來自公有網際網路的分散式阻斷服務 (DDoS) 攻擊。如需詳細資訊,請參閱本指南中的 存取 Amazon MQ 代理程式 Web 主控台,無需公開存取 以及 AWS 安全部落格上的如何藉由減少攻擊表面協助針對 DDoS 攻擊做準備

一律設定授權映射

因為 ActiveMQ 沒有根據預設來設定的任何授權映射,所以任何已驗證的使用者都可對代理程式執行任何動作。因此,最佳實務為依群組來限制許可。如需詳細資訊,請參閱 authorizationEntry

重要

如果您指定的授權映射不包含 activemq-webconsole 群組,您便無法使用 ActiveMQ Web 主控台,因為該群組未獲授權傳送或接收來自 Amazon MQ 代理程式的訊息。

透過 VPC 安全群組封鎖不必要的通訊協定

為了改善安全性,您應該正確設定您的 Amazon VPC 安全群組,限制與不必要通訊協定和連接埠的連線。例如,若要同時限制大多數通訊協定的存取,又能存取 OpenWire 和 Web 主控台,您可以僅開放存取 61617 和 8162。這樣做可封鎖非使用中的通訊協定,且同時允許 OpenWire 和 Web 主控台正常運作,限制您的公開情況。

僅允許您正在使用的通訊協定連接埠。

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

如需更多詳細資訊,請參閱: