本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon MQ 的安全最佳实践
以下设计模式可以提高 Amazon MQ 代理的安全性。
有关 Amazon MQ 如何加密您数据的更多信息以及支持的协议列表,请参阅数据保护。
首选不可公开访问的代理
对于所创建的、不可公开访问的代理,无法从您的 VPC 外部访问。这可大大降低您的代理遭受来自公共 Internet 的分布式拒绝服务 (DDoS) 攻击的危险。有关更多信息,请参阅本指南中的在没有公众访问权限的情况下访问 Amazon MQ 代理网络控制台和 安全博客中的
始终配置授权映射
由于 ActiveMQ 默认情况下没有配置授权映射,任何经过身份验证的用户都可以在代理上执行任何操作。因此,最好按组 来限制权限。有关更多信息,请参阅authorizationEntry
。
重要
如果您指定的授权映射不包含在 activemq-webconsole
组中,您无法使用 ActiveMQ Web 控制台,因为该组未获得授权向 Amazon MQ 代理发送消息或接收来自该代理的消息。
使用 VPC 安全组阻止不必要的协议
为了提高安全性,您应通过正确配置 Amazon VPC 安全组来限制不必要的协议和端口的连接。例如,要在允许访问 OpenWire 和 Web 控制台的同时限制对大多数协议的访问,您可以仅允许访问 61617 和 8162。这会通过阻止您不使用的协议来限制您的暴露,同时允许 OpenWire 和 Web 控制台正常运行。
仅允许您正在使用的协议端口。
-
AMQP: 5671
-
MQTT: 8883
-
OpenWire: 61617
-
STOMP: 61614
-
WebSocket: 61619
有关更多信息,请参阅: