HSM 稽核記錄的運作方式

稽核記錄會在所有 AWS CloudHSM 叢集中自動啟用。它無法停用或關閉，也沒有任何設定可以阻 AWS CloudHSM 止將記錄檔匯出至 CloudWatch 記錄檔。每個日誌事件都具有一個時間戳記和序列號碼，指出事件的順序並協助您偵測任何日誌竄改。

每個 HSM 執行個體都會產生自身的日誌。各種 HSM 的稽核日誌 (甚至是位於相同叢集中的 HSM) 都可能不同。例如，只有每個叢集中的第一個 HSM 會記錄 HSM 的初始化。初始化事件不會出現在從備份複製之 HSM 的日誌中。同樣地，當您建立金鑰時，產生金鑰的 HSM 會記錄金鑰產生事件。其他位於叢集中的 HSM 則會在透過同步接收到金鑰時記錄事件。

AWS CloudHSM 收集日誌並將其發佈到您帳戶中的 CloudWatch 日誌中。若要代表您與 Lo CloudWatch gs 服務通訊，請 AWS CloudHSM 使用服務連結角色。與角色相關聯的 IAM 政策僅 AWS CloudHSM 允許執行將稽核記錄傳送至 CloudWatch 記錄所需的工作。

重要

若您在 2018 年 1 月 20 日前建立叢集，並且尚未建立連接的服務連結角色，您必須手動建立該角色。這對於從 AWS CloudHSM 叢集 CloudWatch 接收稽核記錄是必要的。如需有關服務連結角色建立的詳細資訊，請參閱了解服務連接角色，以及 IAM 使用者指南的建立一個服務連接角色。