기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon MQ에 대한 보안 모범 사례
다음 설계 패턴은 Amazon MQ 브로커의 보안을 개선할 수 있습니다.
**Topics**
+ [퍼블릭 액세스 가능성이 없는 브로커 선호](#prefer-brokers-without-public-accessibility)
+ [항상 권한 부여 맵 구성](#always-configure-authorization-map)
+ [VPC 보안 그룹으로 불필요한 프로토콜 차단](#amazon-mq-vpc-security-groups)
Amazon MQ가 데이터를 암호화하는 방법과 지원되는 프로토콜 목록에 대한 자세한 내용은 [데이터 보호](data-protection.md)를 참조하세요.
## 퍼블릭 액세스 가능성이 없는 브로커 선호
퍼블릭 액세스 기능 없이 생성된 브로커는 [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html) 외부에서 액세스할 수 없습니다. 따라서 브로커가 퍼블릭 인터넷에서 분산 서비스 거부(DDoS) 공격을 받을 가능성이 대폭 감소합니다. 자세한 내용은 AWS 보안 블로그의 [공격 표면을 줄여 DDoS 공격에 대비하는 방법을 참조하세요](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/).
## 항상 권한 부여 맵 구성
ActiveMQ에서는 기본적으로 권한 부여 맵이 구성되지 않기 때문에 모든 인증된 사용자가 브로커에서 모든 작업을 수행할 수 있습니다. 따라서 *그룹별로* 권한을 제한하는 것이 모범 사례입니다. 자세한 정보는 `authorizationEntry`을 참조하세요.
**중요**
`activemq-webconsole` 그룹을 포함하지 않는 권한 부여 맵을 지정하는 경우, 그룹이 Amazon MQ 브로커에 메시지를 보내거나 브로커에서 메시지를 수신할 권한이 없기 때문에 ActiveMQ 웹 콘솔을 사용할 수 없습니다.
## VPC 보안 그룹으로 불필요한 프로토콜 차단
프라이빗 브로커의 보안을 강화하려면 Amazon VPC 보안 그룹을 적절하게 구성하여 불필요한 프로토콜 및 포트의 연결을 제한해야 합니다. 예를 들어, 대부분의 프로토콜에 대한 액세스는 제한하면서 OpenWire 및 웹 콘솔에 대한 액세스는 허용하기 위해 61617 및 8162에 대한 액세스만 허용할 수 있습니다. 이렇게 하면 OpenWire 및 웹 콘솔이 제대로 작동하도록 허용하면서 사용하지 않는 프로토콜은 차단하여 노출이 제한됩니다.
사용 중인 프로토콜 포트만 허용합니다.
+ AMQP: 5671
+ MQTT: 8883
+ OpenWire: 61617
+ STOMP: 61614
+ WebSocket: 61619
자세한 내용은 다음을 참조하세요.
+ [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [VPC의 기본 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup)
+ [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)