AWS CloudHSM 監控最佳實務 - AWS CloudHSM
監控用戶端日誌監控稽核日誌監控 AWS CloudTrail監控 Amazon CloudWatch 指標

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudHSM 監控最佳實務

本節說明您可以用來監控叢集和應用程式的多種機制。如需監控的其他詳細資訊,請參閱監控 AWS CloudHSM

監控用戶端日誌

每個用戶端 SDK 都會寫入您可以監控的日誌。如需用戶端記錄的資訊,請參閱使用 AWS CloudHSM 用戶端SDK日誌

在設計為暫時性的平台上,例如 Amazon ECS 和 AWS Lambda,從檔案收集用戶端日誌可能很困難。在這些情況下,最佳實務是設定用戶端 SDK 記錄,將日誌寫入主控台。大多數 服務會自動收集此輸出,並將其發佈至 Amazon CloudWatch logs,供您保留和檢視。

如果您在 AWS CloudHSM 用戶端 SDK 上使用任何第三方整合,您應該確保設定該軟體套件,將其輸出記錄到主控台。 AWS CloudHSM 用戶端 SDK 的輸出可能由此套件擷取,否則會寫入自己的日誌檔案。

如需如何在應用程式中設定記錄選項的資訊AWS CloudHSM 用戶端 SDK 5 設定工具,請參閱 。

監控稽核日誌

AWS CloudHSM 會將稽核日誌發佈到您的 Amazon CloudWatch 帳戶。稽核日誌來自 HSM,並追蹤特定操作以進行稽核。

您可以使用稽核日誌來追蹤 HSM 上叫用的任何管理命令。例如,當您注意到正在執行非預期的管理操作時,您可以觸發警示。

如需詳細資訊,請參閱HSM 稽核記錄的運作方式

監控 AWS CloudTrail

AWS CloudHSM 已與 整合 AWS CloudTrail,此服務提供使用者、角色或服務 AWS in AWS CloudHSM. AWS CloudTrail captures 對 的所有 API 呼叫 AWS CloudHSM 作為事件所採取動作的記錄。擷取的呼叫包括從 AWS CloudHSM 主控台呼叫,以及對 AWS CloudHSM API 操作的程式碼呼叫。

您可以使用 AWS CloudTrail 來稽核對 AWS CloudHSM 控制平面所做的任何 API 呼叫,以確保您的帳戶不會發生不必要的活動。

如需詳細資訊,請參閱 使用 AWS CloudTrail 和 AWS CloudHSM

監控 Amazon CloudWatch 指標

您可以使用 Amazon CloudWatch 指標來即時監控 AWS CloudHSM 叢集。指標可以依區域、叢集 ID 或 HSM ID 叢集 ID 分組。

使用 Amazon CloudWatch 指標,您可以設定 Amazon CloudWatch 警示,以提醒您任何可能影響服務的潛在問題。建議您設定警示來監控下列項目:

  • 在 HSM 上接近您的金鑰限制

  • 在 HSM 上接近 HSM 工作階段計數限制

  • 在 HSM 上接近 HSM 使用者計數限制

  • HSM 使用者或金鑰計數的差異,以識別同步問題

  • 運作狀態不佳HSMs 可將叢集擴展至 ,直到 AWS CloudHSM 可以解決問題為止

如需詳細資訊,請參閱使用 Amazon CloudWatch 日誌和 AWS CloudHSM 稽核日誌