翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
HSM 監査ログの記録の仕組み
監査ログ記録は、すべての AWS CloudHSM クラスターで自動的に有効になります。無効にしたり無効にしたりすることはできません。また、 がログを CloudWatch ログにエクスポート AWS CloudHSM できない設定はありません。各ログイベントには、タイムスタンプとイベントの順序を示すシーケンス番号があり、ログの改ざんを検出するために役立ちます。
HSM インスタンスごとに独自のログが生成されます。別々の HSM イベントの監査ログは、同じクラスターにある場合でも異なることがあります。たとえば、各クラスターの最初の HSM のみが HSM の初期化を記録します。初期化イベントは、バックアップからクローンされた HSM のログ記録には表示されません。同様に、キーを作成する場合、キーを生成する HSM がキーの生成イベントを記録します。クラスターの別の HSM は、同期を介してキーを受け取るときに、イベントを記録します。
AWS CloudHSM はログを収集し、 アカウントの CloudWatch ログに投稿します。ユーザーに代わって CloudWatch Logs サービスと通信するために、 はサービスにリンクされたロール AWS CloudHSM を使用します。ロールに関連付けられている IAM ポリシーにより AWS CloudHSM 、 は監査ログを CloudWatch ログに送信するために必要なタスクのみを実行できます。
重要
2018 年 1 月 20 日以前にクラスターを作成し、サービスにリンクされたロールをまだ作成していない場合には、手動でこのロールを 1 つ作成する必要があります。これは、 が AWS CloudHSM クラスターから監査ログを受信 CloudWatch するために必要です。サービスにリンクされたロールの作成の詳細については、[サービスにリンクされたロールを理解する] と、[IAM ユーザーガイド] の [サービスにリンクされたロールを作成する] を参照してください。
