本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon MQ 的安全最佳實務
<a name="using-amazon-mq-securely"></a>

以下設計模式可以改善 Amazon MQ 代理程式的安全性。

**Topics**
+ [偏好無法公開存取的代理程式](#prefer-brokers-without-public-accessibility)
+ [一律設定授權映射](#always-configure-authorization-map)
+ [透過 VPC 安全群組封鎖不必要的通訊協定](#amazon-mq-vpc-security-groups)

 如需 Amazon MQ 如何加密資料的詳細資訊，以及支援的通訊協定清單，請參閱[資料保護](data-protection.md)。

## 偏好無法公開存取的代理程式
<a name="prefer-brokers-without-public-accessibility"></a>

建立的代理程式若無法公開存取，則您無法從 [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html) 外存取它們。這可讓您的代理程式更不易受到來自公有網際網路的分散式阻斷服務 (DDoS) 攻擊。如需詳細資訊，請參閱 AWS 安全部落格上的[如何透過減少攻擊面來協助準備 DDoS 攻擊](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/)。

## 一律設定授權映射
<a name="always-configure-authorization-map"></a>

因為 ActiveMQ 沒有根據預設來設定的任何授權映射，所以任何已驗證的使用者都可對代理程式執行任何動作。因此，最佳實務為*依群組*來限制許可。如需詳細資訊，請參閱`authorizationEntry`。

**重要**  
如果您指定的授權映射不包含 `activemq-webconsole` 群組，您便無法使用 ActiveMQ Web 主控台，因為該群組未獲授權傳送或接收來自 Amazon MQ 代理程式的訊息。

## 透過 VPC 安全群組封鎖不必要的通訊協定
<a name="amazon-mq-vpc-security-groups"></a>

為了提高私有代理程式的安全性，您應該透過正確設定 Amazon VPC 安全群組來限制不必要的通訊協定和連接埠的連線。例如，若要同時限制大多數通訊協定的存取，又能存取 OpenWire 和 Web 主控台，您可以僅開放存取 61617 和 8162。這樣做可封鎖非使用中的通訊協定，且同時允許 OpenWire 和 Web 主控台正常運作，限制您的公開情況。

僅允許您正在使用的通訊協定連接埠。
+ AMQP: 5671
+ MQTT: 8883
+ OpenWire: 61617
+ STOMP: 61614
+ WebSocket: 61619

如需更多詳細資訊，請參閱：
+ [VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [VPC 的預設安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup)
+ [使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)