Como funciona o registro em log de auditoria do HSM

O log de auditoria é automaticamente habilitado em todos os clusters do AWS CloudHSM. Ele não pode ser desabilitado ou desativado e não pode impedir AWS CloudHSM de exportar os logs para CloudWatch Logs. Cada evento de log tem um time stamp e um número sequencial que indicam a ordem dos eventos e ajudam a detectar qualquer violação de logs.

Cada instância do HSM gera seu próprio log. Os logs de auditoria de vários HSMs, mesmo aqueles no mesmo cluster, podem ser diferentes. Por exemplo, apenas o primeiro HSM em cada cluster registra a inicialização do HSM. Os eventos de inicialização não são exibidos nos logs de HSMs clonados de backups. Da mesma forma, quando você cria uma chave, o HSM que gera a chave registra um evento de geração de chave. Os outros HSMs no cluster registram um evento quando eles recebem a chave por meio da sincronização.

AWS CloudHSM coleta os logs e os publica no CloudWatch Logs em sua conta. Para se comunicar com o serviço CloudWatch Logs em seu nome, AWS CloudHSM usa uma função vinculada ao serviço. A política do IAM associada à função permite que o AWS CloudHSM execute apenas as tarefas necessárias para enviar os logs de auditoria para CloudWatch Logs.

Importante

Se tiver criado um cluster antes de 20 de janeiro de 2018 e ainda não tiver criado uma função vinculada ao serviço, você deverá criar uma manualmente. Isso é necessário para que CloudWatch receba logs de auditoria do cluster do AWS CloudHSM. Para obter mais informações sobre a criação da função vinculada ao serviço, consulte Noções básicas das funções vinculadas ao serviço, bem como Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Logs de auditoria

Visualizar logs