AWS CloudHSM 감사 로그 참조
AWS CloudHSM에서는 감사 로그 이벤트에 HSM 관리 명령을 기록합니다. 발생한 작업과 그에 대한 반응을 식별하는 작업 코드(Opcode) 값이 이벤트마다 있습니다. Opcode 값을 사용하여 로그를 검색, 정렬 및 필터링할 수 있습니다.
다음 표에서는 AWS CloudHSM 감사 로그의 Opcode 값을 정의합니다.
| 작업 코드(Opcode) | 설명 |
|---|---|
| 사용자 로그인: 사용자 이름과 사용자 유형이 이 이벤트에 포함됩니다. | |
CN_LOGIN(0xd) |
사용자 로그인 |
CN_LOGOUT(0xe) |
|
CN_APP_FINALIZE |
HSM과의 연결이 닫혔습니다. 이 연결의 세션 키 또는 쿼럼 토큰이 삭제되었습니다. |
CN_CLOSE_SESSION |
HSM과의 세션이 닫혔습니다. 이 세션의 세션 키 또는 쿼럼 토큰이 삭제되었습니다. |
| 사용자 관리: 사용자 이름과 사용자 유형이 이 이벤트에 포함됩니다. | |
CN_CREATE_USER(0x3) |
CU(Crypto User) 생성 |
CN_CREATE_CO |
CO(Crypto Officer) |
CN_DELETE_USER |
사용자 삭제 |
CN_CHANGE_PSWD |
사용자의 암호 변경 |
CN_SET_M_VALUE |
Set 쿼럼 인증 (M of N) for a user action |
CN_APPROVE_TOKEN |
Approve a 쿼럼 인증 token for a user action |
CN_DELETE_TOKEN |
Delete one or more 쿼럼 토큰 |
CN_GET_TOKEN |
Request a signing token to initiate a 쿼럼 작업 |
| 키 관리: 키 핸들이 이 이벤트에 포함됩니다. | |
CN_GENERATE_KEY |
대칭 키 생성 |
CN_GENERATE_KEY_PAIR(0x19) |
Generate an asymmetric key pair |
CN_CREATE_OBJECT |
Import a public key (without wrapping) |
CN_MODIFY_OBJECT |
Set a key attribute |
CN_DESTROY_OBJECT(0x11) |
Deletion of a 세션 키 |
CN_TOMBSTONE_OBJECT |
Deletion of a 토큰 키 |
CN_SHARE_OBJECT |
키 공유 또는 공유 해제 |
CN_WRAP_KEY |
Export an encrypted copy of a key (wrapKey) |
CN_UNWRAP_KEY |
Import an encrypted copy of a key (unwrapKey) |
CN_DERIVE_KEY |
Derive a symmetric key from an existing key |
CN_NIST_AES_WRAP |
AES 키를 사용하여 키 암호화 또는 복호화 |
CN_INSERT_MASKED_OBJECT_USER |
Insert an encrypted key with attributes from another HSM in the cluster. |
CN_EXTRACT_MASKED_OBJECT_USER |
Wraps/encrypts a key with attributes from the HSM to be sent to another HSM in the cluster. |
| Back up HSMs | |
CN_BACKUP_BEGIN |
Begin the backup process |
CN_BACKUP_END |
Completed the backup process |
CN_RESTORE_BEGIN |
Begin restoring from a backup |
CN_RESTORE_END |
Completed the restoration process from a backup |
| Certificate-Based Authentication | |
CN_CERT_AUTH_STORE_CERT |
Stores the cluster certificate |
| HSM Instance Commands | |
CN_INIT_TOKEN(0x1) |
Start the HSM initialization process |
CN_INIT_DONE |
The HSM initialization process has finished |
CN_GEN_KEY_ENC_KEY |
Generate a key encryption key (KEK) |
CN_GEN_PSWD_ENC_KEY(0x1d) |
Generate a password encryption key (PEK) |
| HSM crypto commands | |
CN_FIPS_RAND |
Generate a FIPS-compliant random number |
