本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon MQ 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon MQ 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch
**相關要求:**NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4、PCI DSS v4.0.1/10.3.3
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::AmazonMQ::Broker`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon MQ ActiveMQ 代理程式是否將稽核日誌串流至 Amazon CloudWatch Logs。如果代理程式未將稽核日誌串流至 CloudWatch Logs,則控制項會失敗。
透過將 ActiveMQ 代理程式日誌發佈至 CloudWatch Logs,您可以建立 CloudWatch 警示和指標,以提高安全相關資訊的可見性。
### 修補
若要將 ActiveMQ 代理程式日誌串流至 CloudWatch Logs,請參閱《[Amazon MQ 開發人員指南》中的設定 Amazon MQ for ActiveMQ 日誌](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html)。 *Amazon MQ *
## 【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級
**重要**
Security Hub CSPM 已於 2026 年 1 月淘汰此控制項。如需詳細資訊,請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。
**相關要求:**NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/6.3.3
**類別:**識別 > 漏洞、修補程式和版本管理
**嚴重性:**中
**資源類型:** `AWS::AmazonMQ::Broker`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon MQ 代理程式是否已啟用自動次要版本升級。如果代理程式未啟用自動次要版本升級,則控制項會失敗。
隨著 Amazon MQ 發行並支援新的代理程式引擎版本,變更會與現有的應用程式回溯相容,而不會取代現有的功能。自動代理程式引擎版本更新可保護您免於安全風險、協助修正錯誤並改善功能。
**注意**
當與自動次要版本升級相關聯的代理程式在其最新的修補程式上且變得不受支援時,您必須採取手動動作進行升級。
### 修補
若要啟用 MQ 代理程式的自動次要版本升級,請參閱《*Amazon MQ 開發人員指南*》中的[自動升級次要引擎版本](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html)。
## 【MQ.4】 Amazon MQ 代理程式應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::AmazonMQ::Broker`
**AWS Config rule:**`tagged-amazonmq-broker`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 Amazon MQ 代理程式是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果代理程式沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果代理程式未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 Amazon MQ 代理程式,請參閱《*Amazon MQ 開發人員指南*》中的[標記資源](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html)。
## 【MQ.5】 ActiveMQ 代理程式應使用作用中/待命部署模式
**相關要求:**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
**類別:**復原 > 彈性 > 高可用性
**嚴重性:**低
**資源類型:** `AWS::AmazonMQ::Broker`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon MQ ActiveMQ 代理程式的部署模式是否設定為作用中/待命。如果單一執行個體代理程式 (預設為啟用) 設定為部署模式,則控制項會失敗。
作用中/待命部署可為 中的 Amazon MQ ActiveMQ 代理程式提供高可用性 AWS 區域。作用中/待命部署模式包括在兩個不同可用區域中的兩個代理程式執行個體,以備援對設定。這些代理程式會與您的應用程式同步通訊,以減少發生故障時的停機時間和資料遺失。
### 修補
若要使用作用中/待命部署模式建立新的 ActiveMQ 代理程式,請參閱《Amazon MQ 開發人員指南》中的[建立和設定 ActiveMQ 代理程式](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html)。 *Amazon MQ * 針對**部署模式**,選擇**作用中/待命代理**程式。您無法變更現有代理程式的部署模式。相反地,您必須建立新的代理程式,並從舊代理程式複製設定。
## 【MQ.6】 RabbitMQ 代理程式應使用叢集部署模式
**相關要求:**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
**類別:**復原 > 彈性 > 高可用性
**嚴重性:**低
**資源類型:** `AWS::AmazonMQ::Broker`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon MQ RabbitMQ 代理程式的部署模式是否設定為叢集部署。如果單一執行個體代理程式 (預設為啟用) 設定為部署模式,則控制項會失敗。
叢集部署可為 中的 Amazon MQ RabbitMQ 代理程式提供高可用性 AWS 區域。叢集部署是三個 RabbitMQ 代理程式節點的邏輯分組,每個節點都有自己的 Amazon Elastic Block Store (Amazon EBS) 磁碟區和共用狀態。叢集部署可確保資料複寫到叢集中的所有節點,這可減少發生故障時的停機時間和資料遺失。
### 修補
若要使用叢集部署模式建立新的 RabbitMQ 代理程式,請參閱《Amazon MQ 開發人員指南》中的[建立並連線至 RabbitMQ 代理程式](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)。 *Amazon MQ * 針對**部署模式**,選擇**叢集部署**。您無法變更現有代理程式的部署模式。相反地,您必須建立新的代理程式,並從舊代理程式複製設定。