Cara kerja pencatatan audit HSM

Pencatatan audit diaktifkan secara otomatis di semua AWS CloudHSM cluster. Itu tidak dapat dinonaktifkan atau dimatikan, dan tidak ada pengaturan yang dapat AWS CloudHSM mencegah mengekspor CloudWatch log ke Log. Setiap peristiwa log memiliki stempel waktu dan nomor urut yang menunjukkan urutan peristiwa dan membantu Anda mendeteksi setiap gangguan log.

Setiap instans HSM menghasilkan log sendiri. Log audit berbagai HSM, bahkan yang berada di klaster yang sama, cenderung berbeda. Misalnya, hanya HSM pertama di setiap klaster mencatat inisialisasi HSM. Peristiwa inisialisasi tidak muncul di log HSM yang merupakan kloning dari cadangan. Demikian pula, ketika Anda membuat kunci, HSM yang menghasilkan kunci mencatat peristiwa pembuatan kunci. HSM lain dalam klaster merekam peristiwa ketika mereka menerima kunci melalui sinkronisasi.

AWS CloudHSM mengumpulkan log dan mempostingnya ke CloudWatch Log di akun Anda. Untuk berkomunikasi dengan layanan CloudWatch Log atas nama Anda, AWS CloudHSM gunakan peran terkait layanan. Kebijakan IAM yang terkait dengan peran memungkinkan AWS CloudHSM untuk melakukan hanya tugas yang diperlukan untuk mengirim log audit ke CloudWatch Log.

penting

Jika Anda membuat klaster sebelum 20 Januari 2018, dan belum membuat peran terkait layanan terlampir, Anda harus membuatnya secara manual. Hal ini diperlukan CloudWatch untuk menerima log audit dari AWS CloudHSM klaster Anda. Untuk informasi lebih lanjut tentang pembuatan peran terkait layanan, lihat Memahami Peran Terkait Layanan, serta Membuat Peran Terkait Layanan dalamPanduan Pengguna IAM.