出于合规或安全原因,我需要查看或监控 AWS CloudHSM 活动。例如,我需要了解用户何时创建或使用了密钥。
简短描述
CloudHSM 会将 HSM 实例收集的审计日志发送到 Amazon CloudWatch Logs。有关更多信息,请参阅监控 AWS CloudHSM 日志。
解决方法
按照这些说明查看 CloudHSM 审计日志。
**注意:**如果在运行 AWS CLI 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI。
获取您的 HSM 集群 ID
**注意:**如果您已知道自己的 HSM 集群 ID,可以跳过此步骤。
1. 运行此 AWS CLI 命令以获取您的 HSM 集群 IP 地址。
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
2. 运行以下 AWS CLI 命令。
**注意:**将 your-region 替换为您的 AWS 区域,将 your-ip-address 替换为您的 HSM 集群 IP 地址。
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
您会收到类似如下内容的输出。
"ClusterID": "cluster-likphkxygsn"
AWS 管理控制台
1. 打开适用于您 AWS 区域的 CloudWatch 控制台。
2. 在导航窗格中,选择 Logs。
3. 在筛选条件中,输入日志组名称前缀。例如,/aws/cloudhsm/cluster-likphkxygsn。
4. 在日志流中,选择集群中 HSM ID 的日志流。例如 hsm-nwbbiqbj4jk。
**注意:**有关日志组、日志流和使用筛选条件事件的更多信息,请参阅查看 CloudWatch Logs 中的审计日志。
5. 展开日志流以显示从 HSM 设备收集的审核事件。
6. 要列出成功的 CRYPTO_USER 登录,请输入:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS
7. 要列出失败的 CRYPTO_USER 登录,请输入:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE
8. 要列出成功的密钥删除事件,请输入:
Opcode CN_DESTROY_OBJECT Response SUCCESS
opcode 可标识已在 HSM 上执行的管理命令。有关审计日志事件中 HSM 管理命令的更多信息,请参阅审计日志参考。
AWS CLI
1. 使用 describe-log-groups 命令列出日志组名称。
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'
2. 使用此命令列出成功的 CRYPTO_USER 登录。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS" --output text"
3. 使用此命令列出失败的 CRYPTO_USER 登录。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text
4. 使用此命令列出成功的密钥删除。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
有关更多信息,请参阅查看 CloudWatch Logs 中的 HSM 审计日志。
相关信息
解读 HSM 审计日志
filter-log-events