As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como funciona o registro em log de auditoria do HSM
O registro de auditoria é ativado automaticamente em todos os AWS CloudHSM clusters. Ele não pode ser desativado ou desativado, e nenhuma configuração pode AWS CloudHSM impedir a exportação dos registros para o CloudWatch Logs. Cada evento de log tem um time stamp e um número sequencial que indicam a ordem dos eventos e ajudam a detectar qualquer violação de logs.
Cada instância do HSM gera seu próprio log. Os logs de auditoria de vários HSMs, mesmo aqueles no mesmo cluster, podem ser diferentes. Por exemplo, apenas o primeiro HSM em cada cluster registra a inicialização do HSM. Os eventos de inicialização não são exibidos nos logs de HSMs clonados de backups. Da mesma forma, quando você cria uma chave, o HSM que gera a chave registra um evento de geração de chave. Os outros HSMs no cluster registram um evento quando eles recebem a chave por meio da sincronização.
AWS CloudHSM coleta os registros e os publica em CloudWatch Logs da sua conta. Para se comunicar com o serviço de CloudWatch registros em seu nome, AWS CloudHSM use uma função vinculada ao serviço. A política do IAM associada à função permite AWS CloudHSM realizar somente as tarefas necessárias para enviar os registros de auditoria para a CloudWatch Logs.
Importante
Se tiver criado um cluster antes de 20 de janeiro de 2018 e ainda não tiver criado uma função vinculada ao serviço, você deverá criar uma manualmente. Isso é necessário CloudWatch para receber registros de auditoria do seu AWS CloudHSM cluster. Para obter mais informações sobre a criação da função vinculada ao serviço, consulte Noções básicas das funções vinculadas ao serviço, bem como Criar uma função vinculada ao serviço no Guia do usuário do IAM.
