Configuration des journaux Amazon MQ pour ActiveMQ - Amazon MQ
Comprendre la structure de la journalisation dans CloudWatch LogsAjouter l’autorisation CreateLogGroup à l’utilisateur Amazon MQConfigurer une politique basée sur les ressources pour Amazon MQPrévention du cas de figure de l’adjoint désorienté entre services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des journaux Amazon MQ pour ActiveMQ

Pour autoriser Amazon MQ à publier des journaux dans Logs, vous devez ajouter une autorisation à votre utilisateur Amazon MQ et configurer une politique basée sur les ressources pour Amazon MQ avant de créer ou de redémarrer le courtier. CloudWatch

Note

Lorsque vous activez les journaux et publiez des messages depuis la console Web ActiveMQ, le contenu du message est envoyé et affiché dans CloudWatch les journaux.

Ce qui suit décrit les étapes à suivre pour configurer les CloudWatch journaux de vos courtiers ActiveMQ.

Comprendre la structure de la journalisation dans CloudWatch Logs

Vous pouvez activer la journalisation générale et la journalisation des audits lorsque vous configurez les paramètres avancés du courtier, lorsque vous créez un courtier ou lorsque vous modifiez un courtier.

La journalisation générale active le niveau de INFO journalisation par défaut (la DEBUG journalisation n'est pas prise en charge) et publie activemq.log dans un groupe de journaux de votre CloudWatch compte. Le groupe de journaux a un format similaire à ce qui suit :

/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general

La journalisation des audits permet de consigner les actions de gestion effectuées à l'aide de JMX ou de la console Web ActiveMQ et de les audit.log publier dans un groupe de journaux de votre compte. CloudWatch Le groupe de journaux a un format similaire à ce qui suit :

/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit

Selon le type d’agent, à savoir un agent à instance unique ou un agent actif/en veille, Amazon MQ crée un ou deux flux de journaux dans chaque groupe de journaux. Les flux de journaux ont un format similaire à ce qui suit.

activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
                activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log

Les suffixes -1 et -2 indiquent des instances d’agent individuelles. Pour plus d'informations, consultez la section Travailler avec des groupes de journaux et des flux de CloudWatch journaux dans le guide de l'utilisateur Amazon Logs.

Ajouter l’autorisation CreateLogGroup à l’utilisateur Amazon MQ

Pour permettre à Amazon MQ de créer un groupe de CloudWatch journaux Logs, vous devez vous assurer que l'utilisateur qui crée ou redémarre le broker dispose de l'autorisation requise. logs:CreateLogGroup

Important

Si vous n'ajoutez pas l'autorisation CreateLogGroup à l'utilisateur Amazon MQ avant que l'utilisateur crée ou redémarre l'agent, Amazon MQ ne crée pas le groupe de journaux.

L'exemple suivant de politique axée sur IAM octroie l'autorisation pour logs:CreateLogGrouppour les utilisateurs auxquels cette politique est attachée.

JSON
{
                    "Version":"2012-10-17",		 	 	 
                    "Statement": [
                        {
                            "Effect": "Allow",
                            "Action": "logs:CreateLogGroup",
                            "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
                        }
                    ]
                    }
Note

Ici, le terme « utilisateur » fait référence aux utilisateurs et non pas aux utilisateurs Amazon MQ, qui sont créés quand un nouvel agent est configuré. Pour plus d’informations sur la configuration des utilisateurs et la configuration de politiques IAM, reportez-vous à la section Présentation de la gestion des identités du Guide de l’utilisateur IAM.

Pour plus d'informations, consultez CreateLogGroup le manuel Amazon CloudWatch Logs API Reference.

Configurer une politique basée sur les ressources pour Amazon MQ

Important

Si vous ne configurez pas de politique basée sur les ressources pour Amazon MQ, le courtier ne peut pas publier les journaux dans Logs. CloudWatch

Pour autoriser Amazon MQ à publier des journaux dans votre groupe de journaux de CloudWatch journaux, configurez une politique basée sur les ressources afin de donner à Amazon MQ l'accès aux actions d'API de journaux suivantes : CloudWatch

  • CreateLogStream— Crée un flux de CloudWatch journaux pour le groupe de journaux spécifié.

  • PutLogEvents— Fournit des événements au flux de journal CloudWatch des journaux spécifié.

La politique basée sur les ressources suivante accorde des autorisations pour logs:CreateLogStream et logs:PutLogEvents pour. AWS

JSON
{ 
                            "Version":"2012-10-17",		 	 	  
                            "Statement": [ 
                                {
                                    "Effect": "Allow",
                                    "Principal": { "Service": "mq.amazonaws.com" },
                                    "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
                                    "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
                                } 
                            ]
                        }

Cette politique basée sur les ressources doit être configurée à l'aide AWS CLI de la commande suivante. Dans l’exemple, remplacez us-east-1 avec vos propres informations.

aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
                        --policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
                        \"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
Note

Comme cet exemple utilise le /aws/amazonmq/ préfixe, vous ne devez configurer la politique basée sur les ressources qu'une seule fois par AWS compte et par région.

Prévention du cas de figure de l’adjoint désorienté entre services

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous vous recommandons d'utiliser les clés de contexte de condition aws:SourceAccount globale aws:SourceArn et les clés contextuelles de votre politique basée sur les ressources Amazon MQ afin de limiter l'accès aux CloudWatch journaux à un ou plusieurs courtiers spécifiés.

Note

Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.

L'exemple suivant illustre une politique basée sur les ressources qui limite l'accès aux CloudWatch journaux à un seul courtier Amazon MQ.

JSON
{
                        "Version":"2012-10-17",		 	 	 
                        "Statement": [
                            {
                            "Effect": "Allow",
                            "Principal": {
                                "Service": "mq.amazonaws.com"
                            },
                            "Action": [
                                "logs:CreateLogStream",
                                "logs:PutLogEvents"
                            ],
                            "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
                            "Condition": {
                                "StringEquals": {
                                "aws:SourceAccount": "123456789012",
                                "aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
                                }
                            }
                            }
                        ]
                        }

Vous pouvez également configurer votre politique basée sur les ressources pour limiter l'accès aux CloudWatch journaux à tous les courtiers d'un compte, comme indiqué ci-dessous.

JSON
{
                            "Version":"2012-10-17",		 	 	 
                            "Statement": [
                            {
                                "Effect": "Allow",
                                "Principal": {
                                "Service": [
                                    "mq.amazonaws.com"
                                ]
                                },
                                "Action": [
                                "logs:CreateLogStream",
                                "logs:PutLogEvents"
                                ],
                                "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
                                "Condition": {
                                "ArnLike": {
                                    "aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
                                },
                                "StringEquals": {
                                    "aws:SourceAccount": "123456789012"
                                }
                                }
                            }
                            ]
                        }

Pour plus d'informations sur le problème de sécurité de l'adjoint confus, consultez Le problème de l'adjoint confus dans le Guide de l’utilisateur.