Referência do log de auditoria do AWS CloudHSM
O AWS CloudHSM registra comandos de gerenciamento do HSM em eventos de log de auditoria. Cada evento tem um valor do código de operação (Opcode) que identifica a ação ocorrida e sua resposta. Você pode usar os valores Opcode para pesquisar, classificar e filtrar os logs.
A tabela a seguir define os valores Opcode em um log de auditoria AWS CloudHSM.
| Código de operação (Opcode) | Descrição |
|---|---|
| Login do usuário: esses eventos incluem o nome do usuário e o tipo de usuário | |
CN_LOGIN (0xD) |
Login de usuário |
CN_LOGOUT (0xE) |
|
CN_APP_FINALIZE |
A conexão com o HSM foi encerrada. Todas as chaves de sessão ou tokens de quórum dessa conexão foram excluídos. |
CN_CLOSE_SESSION |
A sessão com o HSM foi encerrada. Todas as chaves de sessão ou tokens de quórum dessa sessão foram excluídos. |
| Gerenciamento de usuários: esses eventos incluem o nome do usuário e o tipo de usuário | |
CN_CREATE_USER (0x3) |
Criar um usuário de criptografia (CU) |
CN_CREATE_CO |
Criar um responsável pela criptografia (CO) |
CN_DELETE_USER |
Excluir um usuário |
CN_CHANGE_PSWD |
Alterar a senha de um usuário |
CN_SET_M_VALUE |
Set autenticação de quórum (M of N) for a user action |
CN_APPROVE_TOKEN |
Approve a autenticação de quórum token for a user action |
CN_DELETE_TOKEN |
Delete one or more tokens de quórum |
CN_GET_TOKEN |
Request a signing token to initiate a operação de quórum |
| Gerenciamento de chaves: esses eventos incluem o identificador de chaves | |
CN_GENERATE_KEY |
Gerar uma chave simétrica |
CN_GENERATE_KEY_PAIR (0x19) |
Generate an asymmetric key pair |
CN_CREATE_OBJECT |
Import a public key (without wrapping) |
CN_MODIFY_OBJECT |
Set a key attribute |
CN_DESTROY_OBJECT (0x11) |
Deletion of a chave de sessão |
CN_TOMBSTONE_OBJECT |
Deletion of a chave de token |
CN_SHARE_OBJECT |
Compartilhar ou descompartilhar uma chave |
CN_WRAP_KEY |
Export an encrypted copy of a key (wrapKey) |
CN_UNWRAP_KEY |
Import an encrypted copy of a key (unWrapKey) |
CN_DRIVE_KEY |
Derive a symmetric key from an existing key |
CN_NIST_AES_WRAP |
Criptografar ou descriptografar uma chave com uma chave AES |
CN_INSERT_MASKED_OBJECT_USER |
Insert an encrypted key with attributes from another HSM in the cluster. |
CN_EXTRACT_MASKED_OBJECT_USER |
Wraps/encrypts a key with attributes from the HSM to be sent to another HSM in the cluster. |
| Back up HSMs | |
CN_BACKUP_BEGIN |
Begin the backup process |
CN_BACKUP_END |
Completed the backup process |
CN_RESTORE_BEGIN |
Begin restoring from a backup |
CN_RESTORE_END |
Completed the restoration process from a backup |
| Certificate-Based Authentication | |
CN_CERT_AUTH_STORE_CERT |
Stores the cluster certificate |
| HSM Instance Commands | |
CN_INIT_TOKEN (0x1) |
Start the HSM initialization process |
CN_INIT_DONE |
The HSM initialization process has finished |
CN_GEN_KEY_ENC_KEY |
Generate a key encryption key (KEK) |
CN_GEN_PSWD_ENC_KEY (0x1d) |
Generate a password encryption key (PEK) |
| HSM crypto commands | |
CN_FIPS_RAND |
Generate a FIPS-compliant random number |
