HSM 审核日志记录的工作原理

审计日志记录在所有 AWS CloudHSM 群集中自动启用。无法禁用或关闭审计日志记录，并且任何设置均无法阻止 AWS CloudHSM 将日志导出到 CloudWatch Logs。每个日志事件均有一个时间戳和序列号，它们指示事件的顺序并帮助您检测任何日志篡改。

每个 HSM 实例均生成自己的日志。各种 HSM 的审计日志（甚至是同一群集中的审计日志）可能有所不同。例如，每个群集中只有第一个 HSM 记录 HSM 的初始化。初始化事件不会出现在从备份克隆的 HSM 日志中。类似地，当您创建密钥时，生成密钥的 HSM 会记录一个密钥生成事件。群集中的其他 HSM 在通过同步接收密钥时将记录事件。

AWS CloudHSM 收集日志并将其发布您账户的 CloudWatch Logs 中。为了代表您与 CloudWatch Logs 服务通信，AWS CloudHSM 将使用服务相关角色。与该角色关联的 IAM policy 仅允许 AWS CloudHSM 执行将审核日志发送到 CloudWatch Logs 所需的任务。

重要

如果您在 2018 年 1 月 20 日前创建了一个群集，并且还没有创建附加的服务相关角色，则必须手动创建一个。这是 CloudWatch 从您的 AWS CloudHSM 集群接收审核日志所必需的。有关如何在 HSM 集群上启用服务相关角色的说明，请参阅《IAM 用户指南》中的了解服务相关角色和创建服务相关角色。有关创建服务相关角色的更多信息，请参阅了解服务相关角色以及《IAM 用户指南》中的《创建服务相关角色》。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

审核日志

查看日志