本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
HSM 稽核日誌參考
AWS CloudHSM 在稽核記錄事件中記錄 HSM 管理命令。每個事件都有一個操作碼 (Opcode) 值,以識別發生的動作和其回應。您可以使用 Opcode 值來搜尋、排序和篩選日誌。
下表定義 AWS CloudHSM 稽核記錄中的Opcode值。
| 操作碼 (Opcode) | 描述 |
|---|---|
| 使用者登入:這些事件包含使用者名稱和使用者類型。 | |
CN_LOGIN (0xd) |
使用者登入 |
CN_LOGOUT (0xe) |
|
CN_APP_FINALIZE |
與 HSM 的連線已關閉。此連線中的任何工作階段金鑰或法定權杖都會遭到刪除。 |
CN_CLOSE_SESSION |
與 HSM 的工作階段已關閉。此工作階段中的任何工作階段金鑰或法定權杖都已刪除。 |
| 使用者管理:這些事件包含使用者名稱和使用者類型。 | |
CN_CREATE_USER (0x3) |
建立加密使用者 (CU) |
CN_CREATE_CO |
建立加密主管 (CO) |
CN_DELETE_USER |
刪除使用者 |
CN_CHANGE_PSWD |
變更使用者密碼 |
CN_SET_M_VALUE |
為使用者動作設定法定驗證 (M,共 N 個) |
CN_APPROVE_TOKEN |
核准使用者動作的法定驗證 Token |
CN_DELETE_TOKEN |
刪除一個或多個仲裁令牌 |
CN_GET_TOKEN |
請求簽名令牌以啟動仲裁操作 |
| 金鑰管理:這些事件包含金鑰控制代碼。 | |
CN_GENERATE_KEY |
產生對稱金鑰 |
CN_GENERATE_KEY_PAIR (0x19) |
產生非對稱 key pair |
CN_CREATE_OBJECT |
匯入公有金鑰 (不含包裝) |
CN_MODIFY_OBJECT |
設定金鑰屬性 |
CN_DESTROY_OBJECT (0x11) |
刪除工作階段金鑰 |
CN_TOMBSTONE_OBJECT |
刪除令牌密鑰 |
CN_SHARE_OBJECT |
共用或取消共用金鑰 |
CN_WRAP_KEY |
匯出金鑰 (wrapKey) 的加密複本 |
CN_UNWRAP_KEY |
匯入金鑰 (unwrapKey) 的加密複本 |
CN_DERIVE_KEY |
從現有密鑰導出對稱密鑰 |
CN_NIST_AES_WRAP |
使用 AES 密鑰加密或解密密鑰 |
CN_INSERT_MASKED_OBJECT_USER |
插入具有叢集中其他 HSM 屬性的加密金鑰。 |
CN_EXTRACT_MASKED_OBJECT_USER |
包裝/加密具有來自HSM 屬性的金鑰,以便傳送到叢集中的另一個 HSM。 |
| Back up HSMs | |
CN_BACKUP_BEGIN |
開始備份程序 |
CN_BACKUP_END |
完成備份程序 |
CN_RESTORE_BEGIN |
從備份開始還原 |
CN_RESTORE_END |
從備份完成還原過程 |
| Certificate-Based Authentication | |
CN_CERT_AUTH_STORE_CERT |
儲存叢集憑證 |
| HSM Instance Commands | |
CN_INIT_TOKEN (0x1) |
啟動 HSM 初始化程序 |
CN_INIT_DONE |
HSM 初始化程序已完成 |
CN_GEN_KEY_ENC_KEY |
產生金鑰加密金鑰 (KEK) |
CN_GEN_PSWD_ENC_KEY (0x1d) |
產生密碼加密金鑰 (PEK) |
| HSM crypto commands | |
CN_FIPS_RAND |
產生符合 FIPS 標準的隨機數字 |
