Protección de los datos en Amazon MQ - Amazon MQ

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los datos en Amazon MQ

El modelo de se aplica a protección de datos en Amazon MQ. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con Amazon MQ u otro dispositivo Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Tanto para los agentes de Amazon MQ for ActiveMQ como de Amazon MQ para RabbitMQ, no utilice ninguna información de identificación personal (PII) ni ninguna otra información confidencial para nombres de agente o nombres de usuario al crear recursos a través de la consola web del agente o la API de Amazon MQ. Otros AWS servicios, incluidos los registros, pueden acceder a los nombres de los corredores y a los nombres de usuario. CloudWatch Los nombres de usuario de agente no están diseñados para usarse con información privada o confidencial.

importante

TLS 1.3 no está disponible para los corredores de RabbitMQ.

Cifrado

Los datos de usuario que almacena Amazon MQ se cifran en reposo. El cifrado en reposo de Amazon MQ proporciona mayor seguridad porque cifra los datos mediante las claves de cifrado almacenadas en AWS Key Management Service (KMS). Este servicio ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que cumplen los requisitos de cifrado y normativos.

Todas las conexiones entre los agentes de Amazon MQ usan Transport Layer Security (TLS) para proporcionar el cifrado en tránsito.

Amazon MQ cifra los mensajes en reposo y en tránsito mediante claves de cifrado que administra y almacena de forma segura. Para obtener más información, consulte la Guía para desarrolladores de AWS Encryption SDK.

Cifrado en reposo

Amazon MQ se integra con AWS Key Management Service (KMS) para ofrecer un cifrado transparente del lado del servidor. Amazon MQ siempre cifra sus datos en reposo.

Al crear un agente de Amazon MQ para ActiveMQ o un agente de Amazon MQ para RabbitMQ, puede especificar lo que AWS KMS key quiere que Amazon MQ utilice para cifrar los datos en reposo. Si no especifica una clave de KMS, Amazon MQ crea una clave de AWS KMS propia para usted y la utiliza en su nombre. Amazon MQ admite actualmente las claves de KMS simétricas. Para obtener más información acerca de las claves KMS, consulte AWS KMS keys.

Cuando cree un agente, para configurar lo que Amazon MQ utilizará para la clave de cifrado, seleccione una de estas opciones:

  • Amazon MQ owned KMS key (default) (Clave KMS de Amazon MQ [predeterminada]): la clave es propiedad de y está administrada por Amazon MQ y no está en su cuenta.

  • AWS clave de KMS AWS gestionada: la clave de KMS gestionada (aws/mq) es una clave de KMS de su cuenta que Amazon MQ crea, gestiona y utiliza en su nombre.

  • Select existing customer managed CMK (Seleccionar clave de KMS existente administrada por el cliente): usted crea y administra en AWS Key Management Service (KMS) claves de KMS administradas por el cliente.

importante
  • La revocación de una concesión no se puede deshacer. En su lugar, sugerimos que elimine el agente si necesita revocar los derechos de acceso.

  • Para agentes de Amazon MQ para ActiveMQ que utilizan Amazon Elastic File System (EFS) para almacenar los datos de los mensajes; si se revoca la adjudicación que permite a Amazon EFS utilizar las claves KMS en la cuenta, no se llevará a cabo inmediatamente.

  • Para agentes de Amazon MQ para RabbitMQ y Amazon MQ para ActiveMQ que utilizan EBS para almacenar los datos de los mensajes; si se desactiva, se programa la eliminación o se revoca la adjudicación que permite a Amazon EBS utilizar las claves KMS en la cuenta, Amazon MQ no podrá mantener al agente y podría cambiar a un estado degradado.

  • Si ha desactivado la clave o ha programado su eliminación, puede volver a activarla o cancelar la eliminación de la clave y mantener al agente en buen estado.

  • La desactivación de una clave o la revocación de una adjudicación no se llevarán a cabo inmediatamente.

Al crear un agente de instancia única con una clave de KMS para RabbitMQ, verá dos eventos de CreateGrant registrados en AWS CloudTrail. El primer evento es que Amazon MQ cree una concesión para la clave de KMS. El segundo evento consiste en que EBS cree una concesión para que la utilice EBS.

mq_grant
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "userName": "AmazonMqConsole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-02-23T18:59:10Z", "mfaAuthenticated": "false" } }, "invokedBy": "mq.amazonaws.com" }, "eventTime": "2018-06-28T22:23:46Z", "eventSource": "amazonmq.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.0", "userAgent": "PostmanRuntime/7.1.5", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2", "retiringPrincipal": "mq.amazonaws.com", "operations": [ "CreateGrant", "Decrypt", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo", "DescribeKey" ] }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
EBS grant creation

Verá un evento para la creación de la concesión de EBS.

{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "mq.amazonaws.com" }, "eventTime": "2023-02-23T19:09:40Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "mq.amazonaws.com", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "constraints": { "encryptionContextSubset": { "aws:ebs:id": "vol-0b670f00f7d5417c0" } }, "operations": [ "Decrypt" ], "retiringPrincipal": "ec2.us-east-1.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventCategory": "Management" }

Al crear una implementación de clúster con una clave KMS para RabbitMQ, verá cinco eventos CreateGrant registrados en AWS CloudTrail. Los dos primeros eventos son creaciones de concesiones para Amazon MQ. Los siguientes tres eventos son concesiones creadas por EBS para que las utilice EBS.

mq_grant
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "userName": "AmazonMqConsole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-02-23T18:59:10Z", "mfaAuthenticated": "false" } }, "invokedBy": "mq.amazonaws.com" }, "eventTime": "2018-06-28T22:23:46Z", "eventSource": "amazonmq.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.0", "userAgent": "PostmanRuntime/7.1.5", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-east-1:316438333700:key/bdbe42ae-f825-4e78-a8a1-828d411c4be2", "retiringPrincipal": "mq.amazonaws.com", "operations": [ "CreateGrant", "Encrypt", "Decrypt", "ReEncryptFrom", "ReEncryptTo", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "DescribeKey" ] }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
mq_rabbit_grant
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole", "accountId": "111122223333", "userName": "AmazonMqConsole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-02-23T18:59:10Z", "mfaAuthenticated": "false" } }, "invokedBy": "mq.amazonaws.com" }, "eventTime": "2018-06-28T22:23:46Z", "eventSource": "amazonmq.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.0", "userAgent": "PostmanRuntime/7.1.5", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "retiringPrincipal": "mq.amazonaws.com", "operations": [ "DescribeKey" ], "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "sessionCredentialFromConsole": "true" }
EBS grant creation

Verá tres eventos para la creación de concesiones de EBS.

{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "mq.amazonaws.com" }, "eventTime": "2023-02-23T19:09:40Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "mq.amazonaws.com", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "granteePrincipal": "mq.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "constraints": { "encryptionContextSubset": { "aws:ebs:id": "vol-0b670f00f7d5417c0" } }, "operations": [ "Decrypt" ], "retiringPrincipal": "ec2.us-east-1.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventCategory": "Management" }

Para obtener más información acerca de las claves de KMS, consulte AWS KMS keys en la Guía para desarrolladores de AWS Key Management Service .

Cifrado en tránsito

Amazon MQ para ActiveMQ: Amazon MQ para ActiveMQ requiere seguridad de la capa de transporte (TLS) sólida y cifra los datos en tránsito entre los agentes de la implementación de Amazon MQ. Todos los datos que pasan entre los agentes de Amazon MQ se cifran mediante seguridad de la capa de transporte (TLS) sólida. Esto se aplica a todos los protocolos disponibles.

Amazon MQ para RabbitMQ: Amazon MQ para RabbitMQ requiere un cifrado de seguridad de la capa de transporte (TLS) sólido para todas las conexiones de los clientes. El tráfico de replicación de clústeres de RabbitMQ solo transita por la VPC de su agente y todo el tráfico de red entre los centros de AWS datos se cifra de forma transparente en la capa física. Los agentes agrupados en clústeres de Amazon MQ para RabbitMQ actualmente no admiten el cifrado entre nodos para la replicación de clústeres. Para obtener más información, consulte Cifrado y en tránsito data-in-transit. Data-at-Rest

Protocolos de Amazon MQ para ActiveMQ

Para acceder a sus agentes de ActiveMQ, puede utilizar los siguientes protocolos con TLS habilitado:

ActiveMQ en Amazon MQ admite los siguientes conjuntos de cifrado:

  • TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384

  • TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_CON_AES_256_GCM_ SHA384

  • TLS_DHE_RSA_CON_AES_256_CBC_ SHA256

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_RSA_CON_AES_256_GCM_ SHA384

  • TLS_RSA_CON_AES_256_CBC_ SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256

  • TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_CON_AES_128_GCM_ SHA256

  • TLS_DHE_RSA_CON_AES_128_CBC_ SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_CON_AES_128_GCM_ SHA256

  • TLS_RSA_CON_AES_128_CBC_ SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA

Protocolos de Amazon MQ para RabbitMQ

Para acceder a sus agentes de RabbitMQ, puede utilizar los siguientes protocolos con TLS habilitado:

RabbitMQ en Amazon MQ admite los siguientes conjuntos de cifrado:

  • TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384

  • TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256