AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS CloudHSM の監査ログを表示するにはどうすればよいですか?

所要時間2分
0

コンプライアンスまたはセキュリティ上の理由により、AWS CloudHSM アクティビティを表示またはモニタリングする必要があります。例えば、ユーザーがいつキーを作成または使用したかを知る必要があります。

簡単な説明

CloudHSM は、HSM インスタンスによって収集された監査ログを Amazon CloudWatch Logs に送信します。詳細については、「AWS CloudHSM ログのモニタリング」を参照してください。

解決方法

CloudHSM 監査ログを表示するには、以下の手順に従います。

注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

HSM クラスター ID を取得する

注: HSM クラスター ID が既に分かっている場合は、この手順を省略できます。

1.    この AWS CLI コマンドを実行して、HSM クラスター IP アドレスを取得します。

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    次の AWS CLI コマンドを実行します。

注: リージョンを AWS リージョンに置き換え、 IP アドレスを HSM クラスター IP アドレスに置き換えます。

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

次のような出力が表示されます。

"ClusterID": "cluster-likphkxygsn"

AWS マネジメントコンソール

1.    AWS リージョンCloudWatch コンソールを開きます。

2.    ナビゲーションペインで [ログ] を選択します。

3.    [フィルター] に [ロググループ] 名のプレフィックスを入力します。たとえば、「/aws/cloudhsm/cluster-likphkxygsn」と入力します。

4.    [ログストリーム] で、クラスターの HSM ID のログストリームを選択します。例えば、hsm-nwbbiqbj4jk を選択します。

注意: ロググループ、ログストリーム、フィルターイベントの使用の詳細については、「CloudWatch Logs で監査ログを表示する」を参照してください。

5.    ログストリームを展開して、HSM デバイスから収集された監査イベントを表示します。

6.    成功した CRYPTO_USER のログインを一覧表示するには、次のように入力します。

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    失敗した CRYPTO_USER のログインを一覧表示するには、次のように入力します。

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    成功したキーの削除イベントを一覧表示するには、次のように入力します。

Opcode CN_DESTROY_OBJECT Response SUCCESS

命令コードは、HSM で実行された管理コマンドを識別します。監査ログイベントの HSM 管理コマンドの詳細については、監査ログのリファレンスを参照してください。

AWS CLI

1.    describe-log-groups コマンドを使用してロググループ名をリストします。

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    次のコマンドを使用して、成功した CRYPTO_USER のログインをリストします。

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    次のコマンドを使用して、失敗した CRYPTO_USER のログインをリストします。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    次のコマンドを使用して、成功したキーの削除を一覧表示します。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

詳細については、Viewing HSM audit logs in CloudWatch logs を参照してください。

関連情報

HSM 監査ログの解釈

filter-log-events

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS CloudHSM
言語
日本語

関連ビデオ

Shubhansu の動画で詳細を見る (2:42)
Shubhansu の動画で詳細を見る (2:42)
AWS公式
AWS公式更新しました 3年前
コメントはありません

関連するコンテンツ