So funktioniert die HSM-Auditprotokollierung - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die HSM-Auditprotokollierung

Die Auditprotokollierung wird automatisch in allen AWS CloudHSM Clustern aktiviert. Sie kann nicht deaktiviert oder ausgeschaltet werden, und keine Einstellungen können AWS CloudHSM verhindern, dass die Protokolle in Logs exportiert werden. CloudWatch Jedes Protokollereignis verfügt über eine Sequenznummer, die Zeitstempel und die Reihenfolge der Ereignisse angibt und Ihnen hilft, etwaige Manipulationsversuche zu erkennen.

Jede HSM-Instance generiert ihre eigenen Protokolle. Die Audit-Protokolle von verschiedenen HSMs, auch von jenen im selben Cluster, werden sich wahrscheinlich unterscheiden. Beispiel: nur das erste HSM in jedem Cluster zeichnet die Initialisierung des HSM auf. Initialisierungsereignisse erscheinen nicht in den Protokollen von HSMs, die von Sicherungen geklont werden. Ebenso zeichnet das HSM, das die Schlüssel generiert, beim Anlegen eines Schlüssels ein Ereignis zur Schlüsselerzeugung auf. Die anderen HSMs im Cluster zeichnen ein Ereignis auf, wenn sie den Schlüssel über die Synchronisation erhalten.

AWS CloudHSM sammelt die Protokolle und veröffentlicht sie in den CloudWatch Protokollen in Ihrem Konto. Um in Ihrem Namen mit dem CloudWatch Logs-Service zu kommunizieren, AWS CloudHSM verwendet eine dienstbezogene Rolle. Die der Rolle zugeordnete IAM-Richtlinie ermöglicht es, nur die Aufgaben auszuführen AWS CloudHSM , die zum Senden der Audit-Logs an CloudWatch Logs erforderlich sind.

Wichtig

Wenn Sie einen Cluster vor dem 20. Januar 2018 angelegt haben und noch keine angehängte, servicegebundene Rolle angelegt haben, müssen Sie diese manuell erstellen. Dies ist erforderlich CloudWatch , um Audit-Logs von Ihrem AWS CloudHSM Cluster zu empfangen. Weitere Informationen über die Erstellung von dienstverknüpften Rollen finden Sie unter Grundlegendes zu dienstverknüpften Rollen sowie unter Erstellen einer dienstverknüpften Rolle im IAM-Benutzerhandbuch.