Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fonctionnement de la journalisation d'audit HSM
La journalisation des audits est automatiquement activée dans tous les AWS CloudHSM clusters. Il ne peut pas être désactivé ou désactivé, et aucun paramètre ne peut AWS CloudHSM empêcher l'exportation des CloudWatch journaux vers Logs. Chaque événement de journal possède un horodatage et un numéro de séquence qui indiquent l'ordre des événements et vous aident à détecter les falsifications de journal.
Chaque instance HSM génère son propre journal. Les journaux d'audit des différents HSM, même dans le même cluster, sont susceptibles de différer. Par exemple, seul le premier HSM de chaque cluster enregistre l'initialisation du HSM. Les événements d'initialisation n'apparaissent pas dans les journaux des HSM qui sont clonés à partir de sauvegardes. De même, lorsque vous créez une clé, le HSM qui génère la clé enregistre un événement de génération de clé. Les autres HSM du cluster enregistrent un événement lorsqu'ils reçoivent la clé via la synchronisation.
AWS CloudHSM collecte les journaux et les publie dans les CloudWatch journaux de votre compte. Pour communiquer avec le service CloudWatch Logs en votre nom, AWS CloudHSM utilise un rôle lié au service. La politique IAM associée au rôle permet d' AWS CloudHSM effectuer uniquement les tâches requises pour envoyer les journaux d'audit à CloudWatch Logs.
Important
Si vous avez créé un cluster avant le 20 janvier 2018, et que vous n'avez pas encore créé un rôle lié à un service attaché, vous devez en créer un manuellement. Cela est nécessaire pour CloudWatch recevoir les journaux d'audit de votre AWS CloudHSM cluster. Pour plus d'informations sur la création d'un rôle lié à un service, consultez Présentation des rôles liés à un service, ainsi que Création d'un rôle lié à un service dans le Guide de l’utilisateur IAM.
