Amazon MQ 的安全最佳实践 - Amazon MQ
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon MQ 的安全最佳实践

以下设计模式可以提高 Amazon MQ 代理的安全性。

有关 Amazon MQ 如何加密您数据的更多信息以及支持的协议列表,请参阅数据保护

首选不可公开访问的代理

对于所创建的、不可公开访问的代理,无法从您的 VPC 外部访问。这可大大降低您的代理遭受来自公共 Internet 的分布式拒绝服务 (DDoS) 攻击的危险。有关更多信息,请参阅本指南中的在没有公众访问权限的情况下访问 Amazon MQ 代理网络控制台 安全博客中的如何通过减少攻击面来帮助应对 DDoS 攻击Amazon。

始终配置授权映射

由于 ActiveMQ 默认情况下没有配置授权映射,任何经过身份验证的用户都可以在代理上执行任何操作。因此,最好按组 来限制权限。有关更多信息,请参阅authorizationEntry

重要

如果您指定的授权映射不包含在 activemq-webconsole 组中,您无法使用 ActiveMQ Web 控制台,因为该组未获得授权向 Amazon MQ 代理发送消息或接收来自该代理的消息。

使用 VPC 安全组阻止不必要的协议

为了提高安全性,您应通过正确配置 Amazon VPC 安全组来限制不必要的协议和端口的连接。例如,要在允许访问 OpenWire 和 Web 控制台的同时限制对大多数协议的访问,您可以仅允许访问 61617 和 8162。这会通过阻止您不使用的协议来限制您的暴露,同时允许 OpenWire 和 Web 控制台正常运行。

仅允许您正在使用的协议端口。

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

有关更多信息,请参阅: