Amazon MQ 的安全最佳实践 - Amazon MQ
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon MQ 的安全最佳实践

以下设计模式可以提高 Amazon MQ 代理的安全性。

有关 Amazon MQ 如何加密您的数据的更多信息以及支持的协议列表,请参阅数据保护

喜欢没有公开访问权限的经纪人

对于所创建的、不可公开访问的代理,无法从您的 VPC 外部访问。这可大大降低您的代理遭受来自公共 Internet 的分布式拒绝服务 (DDoS) 攻击的危险。有关更多信息,请参阅本指南中的无需公开访问即可访问的经纪商 Web 控制台 安全博客中的如何通过减少攻击面来帮助应对 DDoS 攻击Amazon。

始终配置授权映射

由于 ActiveMQ 默认情况下没有配置授权映射,任何经过身份验证的用户都可以在代理上执行任何操作。因此,最好按组 来限制权限。有关更多信息,请参阅 authorizationEntry

阻止带有 VPC 安全组的不必要协议

为了提高安全性,您应通过正确配置 Amazon VPC 安全组来限制不必要的协议和端口的连接。例如,要在允许访问 OpenWire 和 Web 控制台的同时限制对大多数协议的访问,您可以仅允许访问 61617 和 8162。这会通过阻止您不使用的协议来限制您的暴露,同时允许 OpenWire 和 Web 控制台正常运行。

仅允许您正在使用的协议端口。

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

有关更多信息,请参阅: