Interpretazione dei registri di AWS CloudHSM controllo

Gli eventi nei registri di HSM controllo hanno campi standard. Alcuni tipi di eventi hanno campi aggiuntivi che permettono di acquisire informazioni utili sull'evento. Ad esempio, gli eventi di accesso e di gestione degli utenti includono il nome utente e il tipo di utente. I comandi di gestione delle chiavi includono l'handle della chiave.

Diversi campi forniscono informazioni particolarmente importanti. Opcode identifica il comando della gestione in fase di registrazione. Sequence No identifica un evento nel flusso di log e indica l'ordine in cui è stato registrato.

Ad esempio, il seguente evento di esempio è il secondo evento (Sequence No: 0x1) nel flusso di log per unHSM. Mostra la HSM generazione di una chiave di crittografia della password, che fa parte della sua routine di avvio.


Time: 12/19/17 21:01:17.140812, usecs:1513717277140812
Sequence No : 0x1
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GEN_PSWD_ENC_KEY (0x1d)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

I seguenti campi sono comuni a tutti gli AWS CloudHSM eventi del registro di controllo.

Orario

L'ora in cui si è verificato l'evento nel fuso UTC orario. Il tempo è visualizzato in formato leggibile e in formato Unix in microsecondi.

Riavvia contatore

Un contatore ordinale persistente a 32 bit che viene incrementato al riavvio dell'HSMhardware.

Tutti gli eventi in un flusso di log hanno lo stesso valore del contatore di riavvio. Tuttavia, il contatore di riavvio potrebbe non essere univoco per un flusso di log, in quanto può differire tra diverse HSM istanze dello stesso cluster.

Numero sequenza

Un contatore ordinale a 64 bit incrementato per ogni evento di log. Il primo evento in ciascun flusso di log ha un numero di sequenza 0x0. Non ci dovrebbero essere lacune nei valori Sequence No. Il numero di sequenza è univoco solo all'interno di un flusso di log.

Tipo di comando

Un valore esadecimale che rappresenta la categoria del comando. I comandi nei flussi di log AWS CloudHSM hanno un tipo di comando CN_MGMT_CMD (0x0) o CN_CERT_AUTH_CMD (0x9).

Codice operativo

Identifica il comando di gestione che è stato eseguito. Per un elenco dei Opcode valori nei log di AWS CloudHSM controllo, vedere. AWS CloudHSM riferimento al registro di controllo

Handle di sessione

Identifica la sessione in cui il comando è stato eseguito e l'evento registrato.

Risposta

Registra la risposta al comando di gestione. È possibile cercare il campo Response per i valori SUCCESS e ERROR.

Tipo di log

Indica il tipo di registro del AWS CloudHSM registro che ha registrato il comando.

MINIMAL_LOG_ENTRY (0)
MGMT_KEY_DETAILS_LOG (1)
MGMT_USER_DETAILS_LOG (2)
GENERIC_LOG

Esempi di eventi di log di audit

Gli eventi in un flusso di log registrano la cronologia HSM dalla creazione all'eliminazione. È possibile utilizzare il registro per esaminare il ciclo di vita del dispositivo HSMs e ottenere informazioni dettagliate sul suo funzionamento. Quando si interpretano gli eventi, nota Opcode, che indica il comando o l'operazione di gestione e Sequence No, che indica l'ordine degli eventi.

Argomenti

Esempio: inizializza il primo HSM in un cluster
Eventi di login e logout
Esempio: creare ed eliminare utenti
Esempio: creare ed eliminare una coppia di chiavi
Esempio: generare e sincronizzare una chiave
Esempio: Esportare una chiave
Esempio: Importare una chiave
Esempio: Condividi e Annulla la condivisione di una chiave

Esempio: inizializza il primo HSM in un cluster

Il flusso di log di controllo per il primo di ogni cluster differisce HSM in modo significativo dai flussi di log degli altri HSMs membri del cluster. Il log di controllo per il primo HSM di ogni cluster ne registra la creazione e l'inizializzazione. I log aggiuntivi HSMs del cluster, generati dai backup, iniziano con un evento di accesso.

Importante

Le seguenti voci di inizializzazione non verranno visualizzate nei CloudWatch log dei cluster inizializzati prima del rilascio della funzionalità di registrazione di HSM audit Cloud (30 agosto 2018). Per ulteriori informazioni vedi Cronologia dei documenti.

I seguenti eventi di esempio vengono visualizzati nel flusso di log per la prima volta in un cluster. HSM Il primo evento nel registro, quello conSequence No 0x0, rappresenta il comando per inizializzare il file HSM (CN_INIT_TOKEN). La risposta indica che il comando è stato eseguito con successo (Response : 0: HSM Return: SUCCESS).


Time: 12/19/17 21:01:16.962174, usecs:1513717276962174
Sequence No : 0x0
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INIT_TOKEN (0x1)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

Il secondo evento in questo esempio log stream (Sequence No 0x1) registra il comando per creare la chiave di crittografia della password che HSM utilizza (CN_GEN_PSWD_ENC_KEY).

Questa è una tipica sequenza di avvio per la prima HSM in ogni cluster. Poiché i cloni successivi HSMs dello stesso cluster sono duplicati del primo, utilizzano la stessa chiave di crittografia delle password.


Time: 12/19/17 21:01:17.140812, usecs:1513717277140812
Sequence No : 0x1
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GEN_PSWD_ENC_KEY (0x1d)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

Il terzo evento in questo flusso di log di esempio (Sequence No 0x2) è la creazione dell' utente dell'applicazione (AU), cioè il servizio AWS CloudHSM . Gli eventi che coinvolgono HSM gli utenti includono campi aggiuntivi per il nome utente e il tipo di utente.


Time: 12/19/17 21:01:17.174902, usecs:1513717277174902
Sequence No : 0x2
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_APPLIANCE_USER (0xfc)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : app_user
User Type : CN_APPLIANCE_USER (5)

Il quarto evento in questo esempio log stream (Sequence No 0x3) registra l'CN_INIT_DONEevento, che completa l'inizializzazione di. HSM


Time: 12/19/17 21:01:17.298914, usecs:1513717277298914
Sequence No : 0x3
Reboot counter : 0xe8
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INIT_DONE (0x95)
Session Handle : 0x1004001
Response : 0:HSM Return: SUCCESS
Log type : MINIMAL_LOG_ENTRY (0)

È possibile seguire i restanti eventi nella sequenza di avvio. Questi eventi possono includere diversi eventi di accesso e disconnessione e la generazione della chiave di crittografia (). KEK L'evento seguente registra il comando che modifica la password del precrypto officer () PRECO. Questo comando attiva il cluster.


Time: 12/13/17 23:04:33.846554, usecs:1513206273846554
Sequence No: 0x1d
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_CHANGE_PSWD (0x9)
Session Handle: 0x2010003
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: admin
User Type: CN_CRYPTO_PRE_OFFICER (6)

Quando interpretate il registro di controllo, prendete nota degli eventi che registrano l'accesso e l'uscita degli utenti da. HSM Questi eventi aiutano a capire quale utente è responsabile per i comandi di gestione che appaiono in sequenza tra i comandi di login e di logout.

Ad esempio, questa voce di log registra un login da parte di un crypto officer denominato admin. Il numero di sequenza, 0x0, indica che questo è il primo evento in questo flusso di log.

Quando un utente accede a unHSM, anche l'altro HSMs utente del cluster registra un evento di accesso per l'utente. È possibile trovare gli eventi di accesso corrispondenti nei flussi di registro di altri HSMs membri del cluster poco dopo l'evento di accesso iniziale.


Time: 01/16/18 01:48:49.824999, usecs:1516067329824999
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)

Il seguente evento di esempio registra la disconnessione del crypto officer admin. Il numero di sequenza, 0x2, indica che questo è il terzo evento in questo flusso di log.

Se l'utente che ha effettuato l'accesso chiude la sessione senza uscire, il flusso di log include un CN_APP_FINALIZE o un evento di chiusura di sessione (CN_SESSION_CLOSE) invece di un evento CN_LOGOUT. A differenza dell'evento di login, questo evento di logout viene in genere registrato solo da chi esegue HSM il comando.


Time: 01/16/18 01:49:55.993404, usecs:1516067395993404
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGOUT (0xe)
Session Handle : 0x7014000
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)

Se un tentativo di accesso fallisce perché il nome utente non è valido, HSM registra un CN_LOGIN evento con il nome utente e il tipo forniti nel comando login. La risposta visualizza il messaggio di errore 157 che spiega che il nome utente non esiste.


Time: 01/24/18 17:41:39.037255, usecs:1516815699037255
Sequence No : 0x4
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 157:HSM Error: user isn't initialized or user with this name doesn't exist
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : ExampleUser
User Type : CN_CRYPTO_USER (1)

Se un tentativo di accesso fallisce perché la password non è valida, HSM registra un CN_LOGIN evento con il nome utente e il tipo forniti nel comando login. La risposta mostra il messaggio di errore con il codice RET_USER_LOGIN_FAILURE.


Time: 01/24/18 17:44:25.013218, usecs:1516815865013218
Sequence No : 0x5
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 163:HSM Error: RET_USER_LOGIN_FAILURE
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

Esempio: creare ed eliminare utenti

Questo esempio mostra gli eventi di log registrati quando un crypto officer (CO) crea ed elimina utenti.

Il primo evento registra un CO,admin, che accede a. HSM Il numero di sequenza, 0x0, indica che questo è il primo evento nel flusso di log. Il nome e il tipo di utente che ha effettuato l'accesso sono inclusi nell'evento.


Time: 01/16/18 01:48:49.824999, usecs:1516067329824999
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : admin
User Type : CN_CRYPTO_OFFICER (2)

L'evento successivo nel flusso di log (sequenza 0x1) registra il CO che crea un nuovo crypto user (CU). Il nome e il tipo del nuovo utente sono inclusi nell'evento.


Time: 01/16/18 01:49:39.437708, usecs:1516067379437708
Sequence No : 0x1
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_USER (0x3)
Session Handle : 0x7014006
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : bob
User Type : CN_CRYPTO_USER (1)

Quindi, il CO crea un altro crypto officer, alice. Il numero di sequenza indica che questa azione segue quella precedente, senza altre operazioni intermedie.


Time: 01/16/18 01:49:55.993404, usecs:1516067395993404
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_CREATE_CO (0x4)
Session Handle : 0x7014007
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : alice
User Type : CN_CRYPTO_OFFICER (2)

Successivamente, il CO denominato admin effettua l'accesso ed elimina il crypto officer denominato alice. HSMRegistra un CN_DELETE_USER evento. Il nome e il tipo dell'utente eliminato sono inclusi nell'evento.


Time: 01/23/18 19:58:23.451420, usecs:1516737503451420
Sequence No : 0xb
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_DELETE_USER (0xa1)
Session Handle : 0x7014007
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : alice
User Type : CN_CRYPTO_OFFICER (2)

Esempio: creare ed eliminare una coppia di chiavi

Questo esempio mostra gli eventi registrati in un registro di HSM controllo quando si crea ed elimina una key pair.

Il seguente evento registra l'utente crittografico (CU) denominato crypto_user che accede a. HSM


Time: 12/13/17 23:09:04.648952, usecs:1513206544648952
Sequence No: 0x28
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_LOGIN (0xd)
Session Handle: 0x2014005
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: crypto_user
User Type: CN_CRYPTO_USER (1)

Poi, il CU genera una coppia di chiavi (CN_GENERATE_KEY_PAIR). La chiave privata presenta l'handle 131079. La chiave pubblica ha l'handle 131078.


Time: 12/13/17 23:09:04.761594, usecs:1513206544761594
Sequence No: 0x29
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_GENERATE_KEY_PAIR (0x19)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131079
Public Key Handle: 131078

Il CU immediatamente elimina la coppia di chiavi. Un OBJECT evento CN_ DESTROY _ registra l'eliminazione della chiave pubblica (131078).


Time: 12/13/17 23:09:04.813977, usecs:1513206544813977
Sequence No: 0x2a
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_DESTROY_OBJECT (0x11)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131078
Public Key Handle: 0

Quindi, un secondo evento CN_DESTROY_OBJECT registra l'eliminazione della chiave privata (131079).


Time: 12/13/17 23:09:04.815530, usecs:1513206544815530
Sequence No: 0x2b
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_DESTROY_OBJECT (0x11)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle: 131079
Public Key Handle: 0

Infine, il CU di disconnette.


Time: 12/13/17 23:09:04.817222, usecs:1513206544817222
Sequence No: 0x2c
Reboot counter: 0xe8
Command Type(hex): CN_MGMT_CMD (0x0)
Opcode: CN_LOGOUT (0xe)
Session Handle: 0x2014004
Response: 0:HSM Return: SUCCESS
Log type: MGMT_USER_DETAILS_LOG (2)
User Name: crypto_user
User Type: CN_CRYPTO_USER (1)

Esempio: generare e sincronizzare una chiave

Questo esempio mostra l'effetto della creazione di una chiave in un cluster con più chiavi. HSMs La chiave viene generata su unoHSM, estratta dall'HSMoggetto mascherato e inserita nell'altro HSMs come oggetto mascherato.

Nota

Gli strumenti del client potrebbero non riuscire a sincronizzare la chiave. Oppure il comando potrebbe includere il min_srv parametro, che sincronizza la chiave solo con il numero specificato di. HSMs In entrambi i casi, il AWS CloudHSM servizio sincronizza la chiave con l'altra del HSMs cluster. Poiché i HSMs registri registrano solo i comandi di gestione lato client, la sincronizzazione lato server non viene registrata nel registro. HSM

Considerate innanzitutto il flusso di log di chi riceve ed esegue HSM i comandi. Il flusso di log è denominato HSM IDhsm-abcde123456, ma l'HSMID non compare negli eventi di registro.

Innanzitutto, l'utente testuser crittografico (CU) accede a. hsm-abcde123456 HSM


Time: 01/24/18 00:39:23.172777, usecs:1516754363172777
Sequence No : 0x0
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0xc008002
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

La CU esegue un exSymKeycomando per generare una chiave simmetrica. hsm-abcde123456HSMGenera una chiave simmetrica con una maniglia chiave di. 262152 HSMRegistra un CN_GENERATE_KEY evento nel suo registro.


Time: 01/24/18 00:39:30.328334, usecs:1516754370328334
Sequence No : 0x1
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_GENERATE_KEY (0x17)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0

L'evento successivo nel flusso di log per hsm-abcde123456 registra il primo passo nel processo di sincronizzazione delle chiavi. La nuova chiave (key handle262152) viene estratta da un oggetto HSM mascherato.


Time: 01/24/18 00:39:30.330956, usecs:1516754370330956
Sequence No : 0x2
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0

Consideriamo ora il flusso di log per HSM hsm-zyxwv987654 un altro HSM nello stesso cluster. Questo flusso di log include anche un evento di accesso per il CU testuser. Il valore temporale indica che si verifica poco dopo l'accesso dell'utente a. hsm-abcde123456 HSM


Time: 01/24/18 00:39:23.199740, usecs:1516754363199740
Sequence No : 0xd
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7004004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

Questo flusso di log per questo HSM non ha un CN_GENERATE_KEY evento. Ma ha un evento che registra la sincronizzazione della chiave con questoHSM. L'evento CN_INSERT_MASKED_OBJECT_USER registra la ricezione della chiave 262152 come oggetto mascherato. Ora la chiave 262152 esiste su entrambi HSMs nel cluster.


Time: 01/24/18 00:39:30.408950, usecs:1516754370408950
Sequence No : 0xe
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 262152
Public Key Handle : 0

Quando l'utente CU si disconnette, questo CN_LOGOUT evento appare solo nel flusso di registro di chi ha ricevuto HSM i comandi.

Esempio: Esportare una chiave

Questo esempio mostra gli eventi del registro di controllo che vengono registrati quando un utente crittografico (CU) esporta chiavi da un cluster con più chiavi. HSMs

L'evento seguente registra il CU (testuser) che esegue l'accesso a key_mgmt_util.


Time: 01/24/18 19:42:22.695884, usecs:1516822942695884
Sequence No : 0x26
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_LOGIN (0xd)
Session Handle : 0x7004004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_USER_DETAILS_LOG (2)
User Name : testuser
User Type : CN_CRYPTO_USER (1)

La CU esegue un exSymKeycomando per esportare la chiave7, una chiave a 256 AES bit. Il comando utilizza key6, una chiave a 256 bit suHSMs, come AES chiave di avvolgimento.

Il comando HSM che riceve il comando registra un CN_WRAP_KEY evento per key7, la chiave che viene esportata.


Time: 01/24/18 19:51:12.860123, usecs:1516823472860123
Sequence No : 0x27
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_WRAP_KEY (0x1a)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 7
Public Key Handle : 0

Quindi, HSM registra un CN_NIST_AES_WRAP evento per la chiave di avvolgimento, la chiave. 6 La chiave viene impacchettata e quindi immediatamente aperta, ma HSM registra solo un evento.


Time: 01/24/18 19:51:12.905257, usecs:1516823472905257
Sequence No : 0x28
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_NIST_AES_WRAP (0x1e)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 6
Public Key Handle : 0

Il exSymKey comando scrive la chiave esportata in un file ma non modifica la chiave su. HSM Di conseguenza, non ci sono eventi corrispondenti nei log di altri membri del HSMs cluster.

Esempio: Importare una chiave

Questo esempio mostra gli eventi del registro di controllo che vengono registrati quando si importano le chiavi HSMs in un cluster. In questo esempio, l'utente crittografico (CU) utilizza il imSymKeycomando per importare una AES chiave in. HSMs Il comando utilizza la chiave 6 come chiave di wrapping.

Chi riceve HSM i comandi registra innanzitutto un CN_NIST_AES_WRAP evento per la chiave6, la chiave di avvolgimento.


Time: 01/24/18 19:58:23.170518, usecs:1516823903170518
Sequence No : 0x29
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_NIST_AES_WRAP (0x1e)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 6
Public Key Handle : 0

Quindi, HSM registra un CN_UNWRAP_KEY evento che rappresenta l'operazione di importazione. Alla chiave importata viene assegnato un handle di 11.


Time: 01/24/18 19:58:23.200711, usecs:1516823903200711
Sequence No : 0x2a
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_UNWRAP_KEY (0x1b)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0

Quando viene generata o importata una nuova chiave, gli strumenti client tentano automaticamente di sincronizzare la nuova chiave con altre HSMs chiavi del cluster. In questo caso, HSM registra un CN_EXTRACT_MASKED_OBJECT_USER evento in cui la chiave 11 viene estratta dall'HSMoggetto mascherato.


Time: 01/24/18 19:58:23.203350, usecs:1516823903203350
Sequence No : 0x2b
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_EXTRACT_MASKED_OBJECT_USER (0xf0)
Session Handle : 0x7004003
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0

I flussi di log degli altri membri HSMs del cluster riflettono l'arrivo della chiave appena importata.

Ad esempio, questo evento è stato registrato nel flusso di log di un altro HSM nello stesso cluster. Questo evento CN_INSERT_MASKED_OBJECT_USER registra l'arrivo di un oggetto mascherato che rappresenta la chiave 11.


Time: 01/24/18 19:58:23.286793, usecs:1516823903286793
Sequence No : 0xb
Reboot counter : 0x107
Command Type(hex) : CN_MGMT_CMD (0x0)
Opcode : CN_INSERT_MASKED_OBJECT_USER (0xf1)
Session Handle : 0xc008004
Response : 0:HSM Return: SUCCESS
Log type : MGMT_KEY_DETAILS_LOG (1)
Priv/Secret Key Handle : 11
Public Key Handle : 0

Questo esempio mostra l'evento del registro di controllo che viene registrato quando un utente crittografico (CU) condivide o annulla la condivisione della chiave ECC privata con altri utenti crittografici. La CU utilizza il shareKeycomando e fornisce l'handle della chiave, l'ID utente e il valore 1 da condividere o il valore 0 per annullare la condivisione della chiave.

Nell'esempio seguente, chi riceve il HSM comando, registra un CM_SHARE_OBJECT evento che rappresenta l'operazione di condivisione.


Time: 02/08/19 19:35:39.480168, usecs:1549654539480168
Sequence No	: 0x3f
Reboot counter	: 0x38
Command Type(hex)	: CN_MGMT_CMD (0x0)
Opcode	: CN_SHARE_OBJECT (0x12)
Session Handle	: 0x3014007
Response	: 0:HSM Return: SUCCESS
Log type	: UNKNOWN_LOG_TYPE (5)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione dei registri

Riferimento dei log