翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM モニタリングのベストプラクティス
このセクションでは、クラスターとアプリケーションのモニタリングに使用できる複数のメカニズムについて説明します。モニタリングの詳細については、「モニタリング AWS CloudHSM」を参照してください。
クライアントログのモニタリング
すべてのクライアント SDK には、監視可能なログが書き込まれます。ログ記録の詳細については、「AWS CloudHSM クライアント SDK ログの使用」を参照してください。
Amazon ECS や など、一時的なプラットフォームでは AWS Lambda、ファイルからクライアントログを収集することは難しい場合があります。このような状況では、ログをコンソールに書き込むようにクライアント SDK ロギングを設定するのがベストプラクティスです。ほとんどのサービスでは、この出力を自動的に収集して Amazon CloudWatch Logsに公開し、ユーザーが保存して確認できるようにします。
AWS CloudHSM クライアント SDK 上でサードパーティー統合を使用している場合は、出力をコンソールにも記録するようにソフトウェアパッケージを設定する必要があります。 AWS CloudHSM クライアント SDK からの出力は、このパッケージによってキャプチャされ、それ以外の場合は独自のログファイルに書き込まれる場合があります。
アプリケーションのロギングオプションの設定方法については、「AWS CloudHSM クライアント SDK 5 設定ツール」を参照してください。
監査ログのモニタリング
AWS CloudHSM はAmazon CloudWatch アカウントに監査ログを発行します。監査ログは HSM から取得され、監査目的で特定のオペレーションを追跡します。
監査ログを使用して、HSM で呼び出された管理コマンドを追跡できます。たとえば、予期しない管理オペレーションが実行されていることに気付いたときにアラームをトリガーできます。
詳細については、「HSM 監査ログの記録の仕組み」を参照してください。
モニタリング AWS CloudTrail
AWS CloudHSM は、ユーザー AWS CloudTrail、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています AWS CloudHSM。 は、 のすべての API コールをイベント AWS CloudHSM として AWS CloudTrail キャプチャします。キャプチャされた呼び出しには、 AWS CloudHSM コンソールからの呼び出しと AWS CloudHSM API オペレーションへのコード呼び出しが含まれます。
AWS CloudTrail を使用して、 AWS CloudHSM コントロールプレーンに対して行われた API コールを監査し、アカウントで望ましくないアクティビティが発生していないことを確認できます。
詳細については、「AWS CloudTrail および の使用 AWS CloudHSM」を参照してください。
Amazon CloudWatch メトリクスのモニタリング
Amazon CloudWatch メトリクスを使用して、 AWS CloudHSM クラスターをリアルタイムでモニタリングできます。メトリクスは、リージョン、クラスター ID、HSM ID、およびクラスター ID ごとにグループ化できます。
Amazon CloudWatch メトリックスを使用すると、サービスに影響を及ぼす可能性のある潜在的な問題を警告するように Amazon CloudWatch アラームを設定できます。以下を監視するようにアラームを設定することをお勧めします。
HSM のキー制限に近づく
HSM の HSM セッション数の制限に近づいています
HSM の HSM ユーザー数制限に近づいています。
同期の問題を特定するための HSM ユーザー数またはキー数の違い
が AWS CloudHSM 問題を解決できるまでクラスターをスケールアップする異常な HSMs
詳細については、Amazon CloudWatch Logs と AWS CloudHSM 監査ログの使用を参照してください。
