投稿日: Aug 13, 2018
AWS CloudHSM が CloudHSM インスタンスで実行された管理コマンドの監査ログを提供するようになりました。これらの監査ログは、各 HSM インスタンスに対して生成され、CloudHSM がお客様に代わり、Amazon CloudWatch に配信します。Amazon CloudWatch Logs で AWS CloudHSM 監査ログを監視する方法について詳しくは、こちらをご覧ください。
2018 年1 月 20 日以前に AWS CloudHSM クラスターをプロビジョンされたお客様は、サービスにリンクされたロールを設定し、Amazon CloudWatch へ HSM インスタンス監査ログを配信できるようにする必要があります。CloudHSM 用のサービスにリンクされたロールの作成手順については、こちらをご覧ください。CloudHSM 用のサービスにリンクされたロールを有効にする以外、ログを受信するためにお客様側で実行していただく操作はありません。
CloudHSM 監査ログは、二つある既存の CloudHSM ログのタイプを補完します。一つ目は AWS CloudTrail ログで、create-cluster や delete-hsm などの、AWS CloudHSM サービスに対して実行する API コールを記録します。二つ目は AWS CloudHSM クライアントログで、CloudHSM クライアントを使用して CloudHSM インスタンスで実行するオペレーションを記録します。
この機能は新しい CloudHSM のみに対応しており、CloudHSM Classic には対応していないという点に注意してください。