Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS CloudHSM surveillance des meilleures pratiques
Cette section décrit les différents mécanismes que vous pouvez utiliser pour surveiller votre cluster et votre application. Pour plus de détails sur la surveillance, voirSurveillance AWS CloudHSM.
Surveiller les journaux des clients
Chaque client SDK écrit des journaux que vous pouvez surveiller. Pour plus d'informations sur la journalisation des clients, consultezUtilisation des SDK journaux des AWS CloudHSM clients.
Sur les plateformes conçues pour être éphémères, comme AmazonECS, la collecte des journaux des clients à partir d'un fichier peut s'avérer difficile. AWS Lambda Dans ces situations, il est recommandé de configurer la SDK journalisation de votre client pour écrire des journaux sur la console. La plupart des services collecteront automatiquement ces résultats et les publieront sur Amazon CloudWatch Logs pour que vous puissiez les conserver et les consulter.
Si vous utilisez une intégration tierce au-dessus du AWS CloudHSM clientSDK, vous devez vous assurer de configurer ce package logiciel pour qu'il enregistre également sa sortie sur la console. Dans le cas contraire, la sortie du AWS CloudHSM client SDK peut être capturée par ce package et écrite dans son propre fichier journal.
Consultez le AWS CloudHSM Outil de configuration du client SDK 5 pour savoir comment configurer les options de journalisation dans votre application.
Surveiller les journaux d'audit
AWS CloudHSM publie des journaux d'audit sur votre CloudWatch compte Amazon. Les journaux d'audit proviennent de HSM et suivent certaines opérations à des fins d'audit.
Vous pouvez utiliser les journaux d'audit pour suivre toutes les commandes de gestion invoquées sur votreHSM. Par exemple, vous pouvez déclencher une alarme lorsque vous remarquez qu'une opération de gestion inattendue est effectuée.
Pour plus d’informations, consultez Fonctionnement de la journalisation d'audit HSM.
Moniteur AWS CloudTrail
AWS CloudHSM est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS CloudHSM. AWS CloudTrail capture tous les API appels AWS CloudHSM sous forme d'événements. Les appels capturés incluent des appels provenant de la AWS CloudHSM console et des appels de code vers les AWS CloudHSM API opérations.
Vous pouvez l'utiliser AWS CloudTrail pour auditer tout API appel effectué vers le plan de AWS CloudHSM contrôle afin de vous assurer qu'aucune activité indésirable n'a lieu sur votre compte.
Consultez Travailler avec AWS CloudTrail et AWS CloudHSM pour plus de détails.
Surveillez les CloudWatch statistiques d'Amazon
Vous pouvez utiliser CloudWatch les métriques Amazon pour surveiller votre AWS CloudHSM cluster en temps réel. Les métriques peuvent être regroupées par région, par ID de cluster ou par HSM ID et ID de cluster.
À l'aide CloudWatch des métriques Amazon, vous pouvez configurer les CloudWatch alarmes Amazon pour vous avertir de tout problème potentiel susceptible d'avoir un impact sur votre service. Nous vous recommandons de configurer les alarmes pour surveiller les éléments suivants :
Vous vous approchez de votre limite clé sur un HSM
Nous approchons de la limite du nombre de HSM sessions sur un HSM
Approche de la limite du nombre HSM d'utilisateurs sur un HSM
Différences dans le nombre HSM d'utilisateurs ou de clés pour identifier les problèmes de synchronisation
Il n'est pas normal de HSMs faire évoluer votre cluster jusqu'à ce que AWS CloudHSM le problème soit résolu
Pour en savoir plus, consultez Utilisation d'Amazon CloudWatch Logs et AWS CloudHSM d'Audit Logs.
