HSM 監査ログのリファレンス

AWS CloudHSM は、監査ログイベントに HSM 管理コマンドを記録します。各イベントには、発生したアクションとそのレスポンスを識別するオペレーションコード (Opcode) 値があります。Opcode 値を使用して、ログの検索、ソート、フィルタリングができます。

次の表は、 AWS CloudHSM 監査ログOpcodeの値を定義します。

オペレーションコード (Opcode)	説明
[ユーザーログイン]: これらのイベントにはユーザー名とユーザータイプが含まれます
`CN_LOGIN (0xd)`	ユーザーログイン
`CN_LOGOUT (0xe)`	ユーザーログアウト
`CN_APP_FINALIZE`	HSM との接続が閉じられました。この接続からのセッションキーまたはクォーラムトークンはすべて削除されました。
`CN_CLOSE_SESSION`	HSM とのセッションが閉じられました。このセッションのセッションキーまたはクォーラムトークンはすべて削除されました。
ユーザー管理: これらのイベントにはユーザー名とユーザータイプが含まれます
`CN_CREATE_USER (0x3)`	暗号化ユーザー (CU) を作成する
`CN_CREATE_CO`	Crypto Officer (CO) を作成する
`CN_DELETE_USER`	ユーザーを削除する
`CN_CHANGE_PSWD`	ユーザーのパスワードを変更する
`CN_SET_M_VALUE`	ユーザーアクションのクォーラム認証 (M of N) を設定する
`CN_APPROVE_TOKEN`	ユーザーアクションのクォーラム認証トークンを承認する
`CN_DELETE_TOKEN`	1 つ以上のクォーラムトークンを削除する
`CN_GET_TOKEN`	クォーラムオペレーションを開始する署名トークンをリクエストする
キー管理: このイベントにはキーハンドルが含まれます
`CN_GENERATE_KEY`	対称キーの生成
`CN_GENERATE_KEY_PAIR (0x19)`	非対称キーペアを生成する
`CN_CREATE_OBJECT`	パブリックキー (ラップなし) のインポート
`CN_MODIFY_OBJECT`	キー属性を設定する
`CN_DESTROY_OBJECT (0x11)`	セッションキーの削除
`CN_TOMBSTONE_OBJECT`	トークンキーの削除
`CN_SHARE_OBJECT`	キーの共有あるいは非共有
`CN_WRAP_KEY`	キー (wrapKey) の暗号化されたコピーのエクスポート
`CN_UNWRAP_KEY`	キー (unwrapKey) の暗号化されたコピーのインポート
`CN_DERIVE_KEY`	既存のキーから対称キーを取得する
`CN_NIST_AES_WRAP`	AES キーを使用してキーを暗号化または復号する
`CN_INSERT_MASKED_OBJECT_USER`	クラスター内の別の HSM の属性を含む暗号化キーを挿入します。
`CN_EXTRACT_MASKED_OBJECT_USER`	HSM からの属性を持つキーをラップ/暗号化して、クラスター内の別の HSM に送信します。
Back up HSMs
`CN_BACKUP_BEGIN`	バックアッププロセスを開始する
`CN_BACKUP_END`	バックアッププロセスを完了しました
`CN_RESTORE_BEGIN`	バックアップからの復元を開始する
`CN_RESTORE_END`	バックアップからの復元プロセスを完了しました
Certificate-Based Authentication
`CN_CERT_AUTH_STORE_CERT`	クラスター証明書を保存します。
HSM Instance Commands
`CN_INIT_TOKEN (0x1)`	HSM 初期化プロセスを開始する
`CN_INIT_DONE`	HSM 初期化プロセスが終了しました
`CN_GEN_KEY_ENC_KEY`	キー暗号化キー (KEK) の生成
`CN_GEN_PSWD_ENC_KEY (0x1d)`	パスワード暗号化キー (PEK) の生成
HSM crypto commands
`CN_FIPS_RAND`	FIPS 準拠の乱数を生成する

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ログの解釈

CloudWatch メトリクス