AWS CloudHSM 监控最佳实践 - AWS CloudHSM
监控客户端日志监控审核日志监视器 AWS CloudTrail监控 Amazon CloudWatch 指标

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS CloudHSM 监控最佳实践

本节介绍可用于监控集群和应用的多种机制。有关监控的更多详细信息,请参阅 监控 AWS CloudHSM

监控客户端日志

每个客户端软件开发工具包都会写入您可监控的日志。有关日志记录的信息,请参阅 使用 AWS CloudHSM 客户端 SDK 日志

在设计为临时性的平台(例如 Amazon ECS 和)上 AWS Lambda,从文件中收集客户端日志可能很困难。在这些情况下,最佳做法是配置客户端软件开发工具包日志以将日志写入控制台。大多数服务会自动收集此输出并将其发布到 Amazon CloudWatch 日志中,供您保存和查看。

如果您在 AWS CloudHSM 客户端 SDK 之上使用任何第三方集成,则应确保将该软件包配置为将其输出也记录到控制台。此软件包可能会捕获 AWS CloudHSM 客户端 SDK 的输出并将其写入自己的日志文件中。

有关如何在应用程序中配置日志记录选项的信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置工具

监控审核日志

AWS CloudHSM 将审核日志发布到您的 Amazon CloudWatch 账户。审核日志来自 HSM,用于跟踪某些需要审核的操作。

您可以使用审核日志来跟踪在 HSM 上调用的、任何管理命令。例如,当您注意到正在执行意外的管理操作时,可触发警报。

有关更多信息,请参阅HSM 审核日志记录的工作原理

监视器 AWS CloudTrail

AWS CloudHSM 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或 AWS 服务在中执行的操作的记录 AWS CloudHSM。 AWS CloudTrail 将所有 API 调用捕获 AWS CloudHSM 为事件。捕获的调用包括来自 AWS CloudHSM 控制台的调用和对 AWS CloudHSM API 操作的代码调用。

您可以使用 AWS CloudTrail 来审核向 AWS CloudHSM 控制平面发出的任何 API 调用,以确保您的账户中没有发生任何不必要的活动。

有关详细信息,请参阅使用 AWS CloudTrail 和 AWS CloudHSM

监控 Amazon CloudWatch 指标

您可以使用 Amazon CloudWatch 指标来实时监控您的 AWS CloudHSM 集群。指标可按区域、集群 ID 或 HSM ID 集群 ID 分组。

使用 Amazon CloudWatch 指标,您可以配置 Amazon CloudWatch 警报,提醒您注意可能出现的任何可能影响您服务的潜在问题。我们建议配置警报,以监控以下内容:

  • 接近 HSM 上的密钥限制

  • 接近 HSM 上的 HSM 会话计数限制

  • 接近 HSM 上的 HSM 用户计数限制

  • 用于识别同步问题的 HSM 用户数或密钥数差异

  • 在 AWS CloudHSM 可以解决问题之前 HSMs 向上扩展集群是不健康的

有关更多详细信息,请参阅 使用 Amazon CloudWatch 日志和 AWS CloudHSM 审核日志