

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Bonnes pratiques de sécurité pour Amazon MQ
<a name="using-amazon-mq-securely"></a>

Les modèles de conception suivants peuvent améliorer la sécurité de votre agent Amazon MQ.

**Topics**
+ [Préférer les agents sans accessibilité publique](#prefer-brokers-without-public-accessibility)
+ [Toujours configurer un plan d'autorisation](#always-configure-authorization-map)
+ [Bloquer les protocoles inutiles avec des groupes de sécurité VPC](#amazon-mq-vpc-security-groups)

 Pour plus d'informations sur la façon dont Amazon MQ chiffre vos données, ainsi que sur la liste des protocoles pris en charge, consultez [Protection des données](data-protection.md). 

## Préférer les agents sans accessibilité publique
<a name="prefer-brokers-without-public-accessibility"></a>

Les agents créés sans accessibilité publique ne sont pas accessibles depuis l'extérieur de votre [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html). Cela réduit considérablement la vulnérabilité de votre courtier aux attaques par déni de service (DDoS) distribué provenant de l'Internet public. Pour plus d'informations, consultez [Comment vous préparer aux attaques DDo S en réduisant votre surface d'attaque](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/) sur le blog consacré à la AWS sécurité.

## Toujours configurer un plan d'autorisation
<a name="always-configure-authorization-map"></a>

Étant donné qu'aucun plan d'autorisation n'est configuré pour ActiveMQ par défaut, tout utilisateur authentifié peut effectuer n'importe quelle action sur l'agent. Ainsi, une bonne pratique consiste à limiter les autorisations *par groupe*. Pour de plus amples informations, veuillez consulter `authorizationEntry`.

**Important**  
Si vous spécifiez un plan d'autorisation qui n'inclut pas le groupe `activemq-webconsole`, vous ne pouvez pas utiliser la console web ActiveMQ car le groupe n'est pas autorisé à envoyer des messages à l'agent Amazon MQ ou à recevoir des messages de ce dernier.

## Bloquer les protocoles inutiles avec des groupes de sécurité VPC
<a name="amazon-mq-vpc-security-groups"></a>

Pour améliorer la sécurité des courtiers privés, vous devez limiter les connexions de protocoles et de ports inutiles en configurant correctement votre groupe de sécurité Amazon VPC. Par exemple, pour restreindre l'accès à la plupart des protocoles tout en autorisant l'accès à la console Web OpenWire et à celle-ci, vous pouvez autoriser l'accès uniquement aux protocoles 61617 et 8162. Cela limite votre exposition en bloquant les protocoles que vous n'utilisez pas, tout en permettant OpenWire à la console Web de fonctionner normalement.

Autorisez uniquement les ports de protocole que vous utilisez.
+ AMQP : 5671
+ MQTT : 8883
+ OpenWire: 61617
+ STOMP : 61614
+ WebSocket: 61619

Pour plus d'informations, consultez :
+ [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Groupe de sécurité par défaut pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup)
+ [Utilisation des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)