Comment puis-je consulter mes journaux d'audit AWS CloudHSM ?

Date de la dernière mise à jour : 27/08/2020

Je dois consulter ou surveiller l'activité d'AWS CloudHSM pour des raisons de conformité ou de sécurité. Par exemple, j'ai besoin de savoir quand un utilisateur a créé ou utilisé une clé.

Brève description

CloudHSM envoie les journaux d'audit collectés par les instances HSM à Amazon CloudWatch Logs. Pour plus d'informations, consultez Surveillance des journaux AWS CloudHSM.

Résolution

Suivez ces instructions pour consulter les journaux d'audit CloudHSM.

Important : avant de commencer, assurez-vous d'avoir installé et configuré l'interface de ligne de commande AWS (AWS CLI).

Obtenir votre ID de cluster HSM

Remarque : si vous connaissez déjà votre ID de cluster HSM, vous pouvez ignorer cette étape.

1.    Exécutez cette commande AWS CLI pour obtenir votre adresse IP de cluster HSM.

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    Exécutez cette commande AWS CLI.

Remarque : remplacez your-region par votre région AWS et your-ip-address par l'adresse IP de votre cluster HSM.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

Vous obtenez une sortie similaire à ce qui suit :

"ClusterID": "cluster-likphkxygsn"

AWS Management Console

1.    Ouvrez la console CloudWatch pour votre région.

2.    Dans le volet de navigation, sélectionnez Journaux.

3.    Dans Filter, entrez le préfixe du nom du groupe de journaux. Par exemple, /aws/cloudhsm/cluster-likphkxygsn.

4.    Dans Log Streams, (Flux de journaux), choisissez le flux de journaux pour votre ID HSM dans votre cluster. Par exemple, hsm-nwbbiqbj4jk.

Remarque : pour plus d'informations sur les groupes de journaux, les flux de journaux et l'utilisation des événements de filtre, reportez-vous à la section Consultation des journaux d'audit dans CloudWatch Logs.

5.    Développez les flux de journaux pour afficher les événements d’audit collectés à partir de l'appareil HSM.

6.    Pour répertorier les connexions CRYPTO_USER réussies, saisissez :

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    Pour répertorier les connexions CRYPTO_USER ayant échoué, saisissez :

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    Pour répertorier les événements de suppression de clé réussis, saisissez :

Opcode CN_DESTROY_OBJECT Response SUCCESS

L'opcode identifie la commande de gestion qui s'est exécutée sur l'instance HSM. Pour plus d'informations sur les commandes de gestion de HSM dans les événements du journal d'audit, consultez Référence des journaux d'audit.

Interface de ligne de commande AWS (AWS CLI)

1.    Utilisez la commande describe-log-groups pour répertorier les noms des groupes de journaux.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    Utilisez cette commande pour répertorier les connexions CRYPTO_USER réussies.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    Utilisez cette commande pour répertorier les connexions CRYPTO_USER ayant échoué.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    Utilisez cette commande pour répertorier la suppression de clé réussie.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

Pour plus d'informations, consultez Consultation des journaux d'audit dans CloudWatch Logs.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?