如何查看我的 AWS CloudHSM 审计日志?

上次更新时间:2020 年 8 月 27 日

出于合规或安全原因,我需要查看或监控 AWS CloudHSM 活动。例如,我需要了解用户何时创建或使用了密钥。

简短描述

CloudHSM 会将 HSM 实例收集的审计日志发送到 Amazon CloudWatch Logs。有关更多信息,请参阅监控 AWS CloudHSM 日志

解决方法

按照以下说明查看 CloudHSM 审计日志。

重要提示:开始之前,请确保您已安装配置 AWS 命令行界面 (AWS CLI)。

获取您的 HSM 集群 ID

注意:如果您已知道自己的 HSM 集群 ID,可以跳过此步骤。

1.    运行此 AWS CLI 命令以获取您的 HSM 集群 IP 地址。

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    运行以下 AWS CLI 命令。

注意:your-region 替换为您的 AWS 区域,将 your-ip-address 替换为您的 HSM 集群 IP 地址。

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

您会收到类似如下内容的输出。

"ClusterID": "cluster-likphkxygsn"

AWS 管理控制台

1.    打开您所在区域CloudWatch 控制台

2.    在导航窗格中,选择日志

3.    在筛选条件中,输入日志组名称前缀。例如 /aws/cloudhsm/cluster-likphkxygsn。

4.    在日志流中,为您的集群中的 HSM ID 选择日志流。例如 hsm-nwbbiqbj4jk。

注意:有关日志组、日志流和使用筛选条件事件的更多信息,请参阅查看 CloudWatch Logs 中的审计日志

5.    展开日志流,显示从 HSM 设备中收集的审计事件。

6.    要列出成功的 CRYPTO_USER 登录,请输入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    要列出失败的 CRYPTO_USER 登录,请输入:

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    要列出成功的密钥删除事件,请输入:

Opcode CN_DESTROY_OBJECT Response SUCCESS

opcode 可标识已在 HSM 上执行的管理命令。有关审计日志事件中 HSM 管理命令的更多信息,请参阅审计日志参考

AWS 命令行界面 (AWS CLI)

1.    使用 describe-log-groups 命令列出日志组名称。

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    使用此命令列出成功的 CRYPTO_USER 登录。

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    使用此命令列出失败的 CRYPTO_USER 登录。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    使用此命令列出成功的密钥删除。

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

有关更多信息,请参阅查看 CloudWatch Logs 中的审计日志


这篇文章对您有帮助吗?


您是否需要账单或技术支持?