コンプライアンスまたはセキュリティ上の理由により、AWS CloudHSM アクティビティを表示またはモニタリングする必要があります。例えば、ユーザーがいつキーを作成または使用したかを知る必要があります。
簡単な説明
CloudHSM は、HSM インスタンスによって収集された監査ログを Amazon CloudWatch Logs に送信します。詳細については、「AWS CloudHSM ログのモニタリング」を参照してください。
解決方法
CloudHSM 監査ログを表示するには、以下の手順に従います。
注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
HSM クラスター ID を取得する
注: HSM クラスター ID が既に分かっている場合は、この手順を省略できます。
1. この AWS CLI コマンドを実行して、HSM クラスター IP アドレスを取得します。
cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname
2. 次の AWS CLI コマンドを実行します。
注: リージョンを AWS リージョンに置き換え、 IP アドレスを HSM クラスター IP アドレスに置き換えます。
aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'
次のような出力が表示されます。
"ClusterID": "cluster-likphkxygsn"
AWS マネジメントコンソール
1. AWS リージョンの CloudWatch コンソールを開きます。
2. ナビゲーションペインで [ログ] を選択します。
3. [フィルター] に [ロググループ] 名のプレフィックスを入力します。たとえば、「/aws/cloudhsm/cluster-likphkxygsn」と入力します。
4. [ログストリーム] で、クラスターの HSM ID のログストリームを選択します。例えば、hsm-nwbbiqbj4jk を選択します。
注意: ロググループ、ログストリーム、フィルターイベントの使用の詳細については、「CloudWatch Logs で監査ログを表示する」を参照してください。
5. ログストリームを展開して、HSM デバイスから収集された監査イベントを表示します。
6. 成功した CRYPTO_USER のログインを一覧表示するには、次のように入力します。
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS
7. 失敗した CRYPTO_USER のログインを一覧表示するには、次のように入力します。
Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE
8. 成功したキーの削除イベントを一覧表示するには、次のように入力します。
Opcode CN_DESTROY_OBJECT Response SUCCESS
命令コードは、HSM で実行された管理コマンドを識別します。監査ログイベントの HSM 管理コマンドの詳細については、監査ログのリファレンスを参照してください。
AWS CLI
1. describe-log-groups コマンドを使用してロググループ名をリストします。
aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'
2. 次のコマンドを使用して、成功した CRYPTO_USER のログインをリストします。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS" --output text"
3. 次のコマンドを使用して、失敗した CRYPTO_USER のログインをリストします。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE" --output text
4. 次のコマンドを使用して、成功したキーの削除を一覧表示します。
aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text
詳細については、Viewing HSM audit logs in CloudWatch logs を参照してください。
関連情報
HSM 監査ログの解釈
filter-log-events