出於合規或安全原因,我需要檢視或監控 AWS CloudHSM 活動。例如,我需要知道使用者何時建立或使用金鑰。
簡短描述
CloudHSM 會將 HSM 執行個體收集的稽核日誌傳送到 Amazon CloudWatch Logs。如需詳細資訊,請參閱監控 AWS CloudHSM 日誌。
解決方法
請依照下列指示檢視 CloudHSM 稽核日誌。
**注意:**如果您在執行 AWS CLI 命令時收到錯誤,請確定您使用的是最新版本的 AWS CLI。
取得您的 HSM 叢集 ID
**注意:**如果您已經知道 HSM 叢集 ID 是什麼,則可以略過此步驟。
1. 執行此 AWS CLI 命令以取得您的 HSM 叢集 IP 地址。
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
2. 執行這個 AWS CLI 命令。
**注意:**將 your-region 取代為您的 AWS 區域和將 your-ip-address 取代為您的 HSM 叢集 IP 地址。
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
您會收到類似下列內容的輸出。
"ClusterID": "cluster-likphkxygsn"
AWS 管理主控台
1. 為您的 AWS 區域開啟 CloudWatch 主控台。
2. 在導覽窗格中,選擇日誌。
3. 在篩選中,輸入日誌群組名稱字首。例如,/aws/cloudhsm/cluster-likphkxygsn。
4. 在日誌串流中,選擇叢集中 HSM ID 的日誌串流。例如,hsm-nwbbiqbj4jk。
**注意:**如需有關日誌群組、日誌串流和使用篩選事件的詳細資訊,請參閱在 CloudWatch 日誌中檢視稽核日誌。
5. 展開日誌串流以顯示從 HSM 裝置收集的稽核事件。
6. 若要列出成功的 CRYPTO_USER 登入資訊,請輸入:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS
7. 若要列出失敗的 CRYPTO_USER 登入資訊,請輸入:
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE
8. 若要列出成功的金鑰刪除事件,請輸入:
Opcode CN_DESTROY_OBJECT Response SUCCESS
作業碼可識別在 HSM 上執行的管理命令。如需稽核日誌事件中 HSM 管理命令的詳細資訊,請參閱稽核日誌參考。
AWS CLI
1. 使用 describe-log-groups 命令列出日誌群組名稱。
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'
2. 使用此命令列出成功的 CRYPTO_USER 登入資訊。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS" --output text"
3. 使用此命令列出失敗的 CRYPTO_USER 登入資訊。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text
4. 使用此命令列出成功的金鑰刪除。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
如需詳細資訊,請參閱在 CloudWatch 日誌中檢視 HSM 稽核日誌。
相關資訊
解譯 HSM 稽核日誌
filter-log-events