Referencia del registro de auditoría de AWS CloudHSM

AWS CloudHSM registra los comandos de administración del HSM en eventos de registro de auditoría. Cada evento tiene un valor de código de operación (Opcode) que identifica la acción que se ha producido y su respuesta. Puede utilizar los valores de Opcode para buscar, clasificar y filtrar los registros.

En la siguiente tabla, se definen los valores de Opcode de un registro de auditoría de AWS CloudHSM.

Código de operación (Opcode)	Descripción
Inicio de sesión del usuario: estos eventos incluyen el nombre y el tipo de usuario.
`CN_LOGIN (0xd)`	Inicio de sesión de usuario
`CN_LOGOUT (0xe)`	Cierre de sesión del usuario
`CN_APP_FINALIZE`	Se cerró la conexión con el HSM. Se eliminaron todas las claves de sesión o los tokens de cuórum de esta conexión.
`CN_CLOSE_SESSION`	Se cerró la sesión con el HSM. Se eliminaron todas las claves de sesión o los tokens de cuórum de esta sesión.
Administración del usuario: estos eventos incluyen el nombre y el tipo de usuario.
`CN_CREATE_USER (0x3)`	Creación de un usuario de criptografía (CU).
`CN_CREATE_CO`	Creación de responsable de criptografía.
`CN_DELETE_USER`	Eliminación de un usuario
`CN_CHANGE_PSWD`	Cambio de la contraseña de un usuario.
`CN_SET_M_VALUE`	Set autenticación de cuórum (M of N) for a user action
`CN_APPROVE_TOKEN`	Approve a autenticación de cuórum token for a user action
`CN_DELETE_TOKEN`	Delete one or more tokens de cuórum
`CN_GET_TOKEN`	Request a signing token to initiate a operación de cuórum
Administración de claves: estos eventos contienen el identificador de la clave.
`CN_GENERATE_KEY`	Generación de una clave simétrica.
`CN_GENERATE_KEY_PAIR (0x19)`	Generate an asymmetric key pair
`CN_CREATE_OBJECT`	Import a public key (without wrapping)
`CN_MODIFY_OBJECT`	Set a key attribute
`CN_DESTROY_OBJECT (0x11)`	Deletion of a clave de sesión
`CN_TOMBSTONE_OBJECT`	Deletion of a clave de token
`CN_SHARE_OBJECT`	Compartir o dejar de compartir una clave.
`CN_WRAP_KEY`	Export an encrypted copy of a key (wrapKey)
`CN_UNWRAP_KEY`	Import an encrypted copy of a key (unwrapKey)
`CN_DERIVE_KEY`	Derive a symmetric key from an existing key
`CN_NIST_AES_WRAP`	Cifrar o descifrar una clave con una clave AES
`CN_INSERT_MASKED_OBJECT_USER`	Insert an encrypted key with attributes from another HSM in the cluster.
`CN_EXTRACT_MASKED_OBJECT_USER`	Wraps/encrypts a key with attributes from the HSM to be sent to another HSM in the cluster.
Back up HSMs
`CN_BACKUP_BEGIN`	Begin the backup process
`CN_BACKUP_END`	Completed the backup process
`CN_RESTORE_BEGIN`	Begin restoring from a backup
`CN_RESTORE_END`	Completed the restoration process from a backup
Certificate-Based Authentication
`CN_CERT_AUTH_STORE_CERT`	Stores the cluster certificate
HSM Instance Commands
`CN_INIT_TOKEN (0x1)`	Start the HSM initialization process
`CN_INIT_DONE`	The HSM initialization process has finished
`CN_GEN_KEY_ENC_KEY`	Generate a key encryption key (KEK)
`CN_GEN_PSWD_ENC_KEY (0x1d)`	Generate a password encryption key (PEK)
HSM crypto commands
`CN_FIPS_RAND`	Generate a FIPS-compliant random number

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Interpretación de registros

Métricas de CloudWatch