¿Cómo puedo ver mis registros de auditoría de AWS CloudHSM?
Necesito ver o supervisar la actividad de AWS CloudHSM por motivos de cumplimiento o seguridad. Por ejemplo, necesito saber cuándo un usuario creó o usó una clave.
Breve descripción
CloudHSM envía los registros de auditoría recopilados por las instancias HSM a los registros de Amazon CloudWatch. Para obtener más información, consulte Supervisión de los registros de AWS CloudHSM.
Resolución
Siga estas instrucciones para ver los registros de auditoría de CloudHSM.
**Nota:**Si recibe errores al ejecutar los comandos de AWS CLI, asegúrese de utilizar la versión más reciente de AWS CLI.
Obtener el ID de su clúster de HSM
**Nota:**Si ya sabe cuál es el ID de su clúster de HSM, puede omitir este paso.
1. Ejecute este comando de AWS CLI para obtener la dirección IP de su clúster de HSM.
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
2. Ejecute este comando de AWS CLI.
Nota: Sustituya su región por su región de AWS y su dirección IP por la dirección IP de su clúster de HSM.
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
Recibirá un resultado similar al siguiente.
"ClusterID": "cluster-likphkxygsn"
Consola de administración de AWS
1. Abra la consola de CloudWatch para su región de AWS.
2. En el panel de navegación, seleccione Registros.
3. En Filtrar, introduzca el prefijo del nombre del Grupo de registro. Por ejemplo, /aws/cloudhsm/cluster-likphkxygsn.
4. En Secuencias de registro, elija la secuencia de registro para la ID de su clúster de HSM. Por ejemplo, hsm-nwbbiqbj4jk.
**Nota:**Para obtener más información sobre los grupos de registros, las secuencias de registro y el uso de la función Filtrar eventos, consulte Visualización de los registros de auditoría en los registros de CloudWatch.
5. Amplíe las secuencias de registro para mostrar los eventos de auditoría recopilados desde el dispositivo HSM.
6. Para enumerar los inicios de sesión realizados correctamente en CRYPTO\ _USER, introduzca:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS
7. Para enumerar los inicios de sesión fallidos en CRYPTO\ _USER, introduzca:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE
8. Para enumerar los eventos de eliminación de claves realizados correctamente, introduzca:
Opcode CN_DESTROY_OBJECT Response SUCCESS
El código de operación identifica el comando de administración que se ejecutó en HSM. Para obtener más información sobre los comandos de administración de HSM en los eventos de registro de auditoría, consulte Referencia de registros de auditoría.
AWS CLI
1. Utilice el comando describe-log-groups para enumerar los nombres de los grupos de registro.
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'
2. Utilice este comando para enumerar los inicios de sesión realizados correctamente en CRYPTO_USER.
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS" --output text"
3. Utilice este comando para enumerar los inicios de sesión fallidos en CRYPTO_USER.
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text
4. Utilice este comando para enumerar los eventos de eliminación de claves realizados correctamente.
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
Para obtener más información, consulte Visualización de los registros de auditoría de HSM en los registros de CloudWatch.
Información relacionada
Vídeos relacionados
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años