AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
如何查看我的 CloudHSM 审计日志?
出于合规性或安全原因,我想要查看或监控 AWS CloudHSM 活动。例如,我想知道用户何时创建或使用了密钥。
解决方法
CloudHSM 会将 HSM 实例收集的审计日志发送到 Amazon CloudWatch Logs。有关详细信息,请参阅使用 Amazon CloudWatch Logs 和 AWS CloudHSM 审计日志。
要查看 CloudHSM 审计日志,请完成以下步骤。
**注意:**如果在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
获取您的 HSM 集群 ID
**注意:**如果您知道自己的 HSM 集群 ID,请跳过此步骤。
要获取您的 HSM 集群 IP 地址,请运行以下命令:
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
然后,运行 AWS CLI 命令 describe-clusters:
**注意:**请将 your-region 替换为您的 AWS 区域,将 your-ip-address 替换为您的 HSM 集群 IP 地址。
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
您将收到类似于以下内容的输出:
"ClusterID": "cluster-likphkxygsn"
AWS 管理控制台
完成以下步骤:
-
打开您所在区域的 CloudWatch 控制台。
-
在导航窗格中,选择 Logs(日志)。
-
对于 Filter(筛选条件),输入 Log Group(日志组)名称前缀。例如,/aws/cloudhsm/cluster-likphkxygsn。
-
对于 Log Streams(日志流),选择您的集群中 HSM ID 的日志流。例如,hsm-nwbbiqbj4jk。
-
要显示从 HSM 设备收集的审计事件,请展开日志流。
-
要列出成功的 CRYPTO_USER 登录事件,请运行以下命令:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS -
要列出失败的 CRYPTO_USER 登录事件,请运行以下命令:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE -
要列出成功的密钥删除事件,请运行以下命令:
Opcode CN_DESTROY_OBJECT Response SUCCESS操作码用于标识在 HSM 上运行的管理命令。有关审计日志事件中 HSM 管理命令的详细信息,请参阅 HSM 审计日志参考。
AWS CLI
完成以下步骤:
-
要列出日志组名称,请运行 describe-log-groups 命令:
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName' -
要列出成功的 CRYPTO_USER 登录事件,请使用以下参数运行 filter-log-events 命令:
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USERResponse SUCCESS" --output text" -
要列出失败的 CRYPTO_USER 登录事件,请使用以下参数运行 filter-log-events 命令:
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text -
要列出成功的密钥删除事件,请使用以下参数运行 filter-log-events 命令:
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
有关日志组、日志流以及如何使用筛选事件的详细信息,请参阅在 CloudWatch Logs 中查看 HSM 审计日志。
相关信息
- 语言
- 中文 (简体)
