AWS CloudHSM 監控最佳實務 - AWS CloudHSM
監控用戶端日誌監控稽核日誌監視器 AWS CloudTrail監控 Amazon CloudWatch 指標

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudHSM 監控最佳實務

本節說明您可以用來監控叢集和應用程式的多種機制。如需監控的其他詳細資訊,請參閱 監控 AWS CloudHSM

監控用戶端日誌

每個用戶端都會SDK寫入您可以監控的日誌。如需用戶端記錄的資訊,請參閱 使用 AWS CloudHSM 用戶端SDK日誌

在設計為暫時性的平台上,例如 Amazon ECS和 AWS Lambda,從檔案收集用戶端日誌可能很困難。在這些情況下,最佳實務是設定用戶端SDK日誌記錄,將日誌寫入主控台。大多數 服務會自動收集此輸出,並將其發佈到 Amazon CloudWatch 日誌,供您保留和檢視。

如果您在 AWS CloudHSM 用戶端 的頂端使用任何第三方整合SDK,您應該確保設定該軟體套件,將其輸出記錄到主控台。此套件SDK可能會擷取來自 AWS CloudHSM 用戶端的輸出,否則會寫入其自己的日誌檔案。

如需如何在應用程式中設定記錄選項的相關資訊,AWS CloudHSM Client SDK 5 設定工具請參閱 。

監控稽核日誌

AWS CloudHSM 會將稽核日誌發佈到您的 Amazon CloudWatch 帳戶。稽核日誌來自 ,HSM並追蹤特定操作以進行稽核。

您可以使用稽核日誌來追蹤在 上調用的任何管理命令HSM。例如,當您注意到正在執行非預期的管理操作時,您可以觸發警示。

如需詳細資訊,請參閱HSM 稽核記錄的運作方式

監視器 AWS CloudTrail

AWS CloudHSM 已與 整合 AWS CloudTrail,此服務提供 AWS 中使用者、角色或服務所採取動作的記錄 AWS CloudHSM。 AWS CloudTrail 擷取 的所有API呼叫 AWS CloudHSM 做為事件。擷取的呼叫包括從 AWS CloudHSM 主控台呼叫,以及對 操作的 AWS CloudHSM API程式碼呼叫。

您可以使用 AWS CloudTrail 來稽核對 AWS CloudHSM 控制平面所做的任何API呼叫,以確保您的帳戶中不會發生不必要的活動。

如需詳細資訊,請參閱 使用 AWS CloudTrail 和 AWS CloudHSM

監控 Amazon CloudWatch 指標

您可以使用 Amazon CloudWatch 指標即時監控 AWS CloudHSM 叢集。指標可以依區域、叢集 ID 或 HSM ID 叢集 ID 分組。

使用 Amazon CloudWatch 指標,您可以設定 Amazon CloudWatch 警示,以提醒您任何可能影響服務的潛在問題。建議您設定警示以監控下列項目:

  • 在 上接近您的金鑰限制 HSM

  • 在 上接近HSM工作階段計數限制 HSM

  • 在 上接近HSM使用者計數限制 HSM

  • 識別同步問題HSM的使用者或金鑰計數差異

  • 無法順利擴展叢集HSMs,直到 AWS CloudHSM 可以解決問題

如需詳細資訊,請參閱使用 Amazon CloudWatch 日誌和 AWS CloudHSM 稽核日誌