Wie kann ich meine AWS CloudHSM-Audit-Protokolle einsehen?
Ich muss die Aktivitäten von AWS CloudHSM aus Compliance- oder Sicherheitsgründen einsehen oder überwachen. Ich muss zum Beispiel wissen, wann ein Benutzer einen Schlüssel erstellt oder verwendet hat.
Kurzbeschreibung
CloudHSM sendet von HSM-Instances gesammelte Audit-Protokolle an Amazon CloudWatch Logs. Weitere Informationen finden Sie unter Überwachung von AWS CloudHSM-Protokollen.
Lösung
Folgen Sie diesen Anweisungen, um die CloudHSM-Audit-Protokolle einzusehen.
Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS-CLI verwenden.
Ihre HSM-Cluster-ID abrufen
Hinweis: Wenn Sie bereits wissen, wie Ihre HSM-Cluster-ID lautet, können Sie diesen Schritt überspringen.
1.Führen Sie diesen AWS-CLI-Befehl aus, um die IP-Adresse Ihres HSM-Clusters abzurufen.
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
2.Führen Sie diesen AWS-CLI-Befehl aus.
Hinweis: Ersetzen Sie your-region durch Ihre AWS-Region und your-ip-adress durch Ihre HSM-Cluster-IP-Adresse.
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
Sie erhalten eine Ausgabe, die der folgenden ähnelt.
"ClusterID": "cluster-likphkxygsn"
AWS-Managementkonsole
1.Öffnen Sie die CloudWatch-Konsole für Ihre AWS-Region.
2.Wählen Sie im Navigationsbereich Protokolle aus.
3.Geben Sie im Feld Filter das Namenspräfix für die Protokollgruppe ein. Zum Beispiel /aws/cloudhsm/cluster-likphkxygsn.
4.Wählen Sie unter Protokollstreams den Protokollstream für Ihre HSM-ID in Ihrem Cluster aus. Zum Beispiel hsm-nwbbiqbj4jk.
Hinweis: Weitere Informationen zu Protokollgruppen, Protokollstreams und der Verwendung von Filterereignissen finden Sie unter Audit-Protokolle in CloudWatch-Protokollen anzeigen.
5.Erweitern Sie die Protokollstreams, um vom HSM-Gerät gesammelte Audit-Ereignisse anzuzeigen.
6.Um erfolgreiche CRYPTO_USER-Anmeldungen aufzulisten, geben Sie Folgendes ein:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS
7.Um fehlgeschlagene CRYPTO_USER-Anmeldungen aufzulisten, geben Sie Folgendes ein:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE
8.Um erfolgreiche Ereignisse zum Löschen von Schlüsseln aufzulisten, geben Sie Folgendes ein:
Opcode CN_DESTROY_OBJECT Response SUCCESS
Der Opcode identifiziert den Verwaltungsbefehl, der auf dem HSM ausgeführt wurde. Weitere Informationen zu HSM-Verwaltungsbefehlen in Audit-Protokollereignissen finden Sie unter Audit-Protokoll-Referenz.
AWS CLI
1.Verwenden Sie den Befehl describe-log-groups, um die Namen der Protokollgruppen aufzulisten.
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'
2.Verwenden Sie diesen Befehl, um erfolgreiche CRYPTO_USER-Anmeldungen aufzulisten.
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS" --output text"
3.Verwenden Sie diesen Befehl, um fehlgeschlagene CRYPTO_USER-Anmeldungen aufzulisten.
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text
4.Verwenden Sie diesen Befehl, um erfolgreiche Schlüssellöschungen aufzulisten.
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
Weitere Informationen finden Sie unter HSM-Audit-Protokolle in CloudWatch-Protokollen anzeigen.
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren