Comment puis-je consulter mes journaux d'audit AWS CloudHSM ?

Date de la dernière mise à jour : 27/08/2020

Je dois consulter ou surveiller l'activité d'AWS CloudHSM pour des raisons de conformité ou de sécurité. Par exemple, j'ai besoin de savoir quand un utilisateur a créé ou utilisé une clé.

Brève description

CloudHSM envoie les journaux d'audit collectés par les instances HSM à Amazon CloudWatch Logs. Pour plus d'informations, consultez Surveillance des journaux AWS CloudHSM.

Résolution

Suivez ces instructions pour afficher les journaux d'audit CloudHSM.

Remarque : si vous recevez des erreurs lors de l'exécution des commandes depuis l'interface de ligne de commande AWS, assurez-vous que vous utilisez la version AWS CLI la plus récente.

Obtenir votre ID de cluster HSM

Remarque : si vous connaissez déjà votre ID de cluster HSM, vous pouvez ignorer cette étape.

1.    Exécutez cette commande AWS CLI pour obtenir votre adresse IP de cluster HSM.

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    Exécutez cette commande AWS CLI.

Remarque : remplacez your-region par votre région AWS et your-ip-address par l'adresse IP de votre cluster HSM.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

Vous obtenez une sortie similaire à ce qui suit :

"ClusterID": "cluster-likphkxygsn"

AWS Management Console

1.    Ouvrez la console CloudWatch pour votre région.

2.    Dans le volet de navigation, sélectionnez Logs.

3.    Dans Filtre, entrez le préfixe du nom Groupe de journaux. Par exemple, /aws/cloudhsm/cluster-likphkxygsn.

4.    Dans Flux de journaux, choisissez le flux de journaux pour votre ID HSM dans votre cluster. Par exemple, hsm-nwbbiqbj4jk.

Remarque : pour plus d'informations sur les groupes de journaux, les flux de journaux et l'utilisation des événements de filtre, reportez-vous à la section Consultation des journaux d'audit dans CloudWatch Logs.

5.    Développez les flux de journaux pour afficher les événements d'audit collectés à partir du périphérique HSM.

6.    Pour répertorier les connexions CRYPTO_USER réussies, saisissez :

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    Pour répertorier les connexions CRYPTO_USER ayant échoué, saisissez :

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    Pour répertorier les événements de suppression de clé réussis, saisissez :

Opcode CN_DESTROY_OBJECT Response SUCCESS

L'opcode identifie la commande de gestion qui s'est exécutée sur l'instance HSM. Pour plus d'informations sur les commandes de gestion HSM dans les événements des journaux d'audit, consultez Référence des journaux d'audit.

AWS CLI

1.    Utilisez la commande describe-log-groups pour afficher la liste des noms de groupe de journaux.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    Utilisez cette commande pour afficher la liste des connexions CRYPTO_USER ayant abouti.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    Utilisez cette commande pour afficher la liste des connexions CRYPTO_USER ayant échoué.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    Utilisez cette commande pour répertorier la suppression de clé réussie.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

Pour plus d'informations, consultez Consultation des journaux d'audit dans CloudWatch Logs.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?