AWS CloudHSM 감사 로그를 보려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 8월 27일

규정 준수 또는 보안상의 이유로 AWS CloudHSM 활동을 보거나 모니터링해야 합니다. 예를 들어 사용자가 언제 키를 생성하거나 사용했는지 알아야 합니다.

간략한 설명

CloudHSM은 HSM 인스턴스에서 수집된 감사 로그를 Amazon CloudWatch Logs로 전송합니다. 자세한 내용은 AWS CloudHSM Logs 모니터링을 참조하십시오.

​해결 방법

CloudHSM 감사 로그를 보려면 다음 지침을 따르십시오.

중요: 시작하기 전에 AWS Command Line Interface(AWS CLI)를 설치구성해야 합니다.

HSM 클러스터 ID 가져오기

참고: HSM 클러스터 ID가 무엇인지 이미 알고 있는 경우 이 단계를 건너뛸 수 있습니다.

1.    이 AWS CLI 명령을 실행하여 HSM 클러스터 IP 주소를 가져옵니다.

cat /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg | grep hostname

2.    이 AWS CLI 명령을 실행합니다.

참고: your-region을 귀하의 AWS 리전으로 바꾸고 your-ip-address를 HSM 클러스터 IP 주소로 바꿉니다.

aws cloudhsmv2 describe-clusters --region your-region --query 'Clusters[*].Hsms[?EniIp==`your-ip-address`].{ClusterId:ClusterId}'

다음과 유사한 출력이 나타납니다.

"ClusterID": "cluster-likphkxygsn"

AWS Management Console

1.    사용 중인 리전CloudWatch 콘솔을 엽니다.

2.    탐색 창에서 [Logs]를 선택합니다.

3.    [필터]에 로그 그룹 이름 접두사를 입력합니다. 예: /aws/cloudhsm/cluster-likphkxygsn

4.    [로그 스트림]에서 클러스터 내 HSM ID에 대한 로그 스트림을 선택합니다. 예: hsm-nwbbiqbj4jk

참고: 로그 그룹, 로그 스트림 및 필터 이벤트 사용에 대한 자세한 내용은 CloudWatch Logs에서 감사 로그 보기를 참조하십시오.

5.    로그 스트림을 확장하여 HSM 디바이스에서 수집된 감사 이벤트를 표시합니다.

6.    CRYPTO_USER 로그인 성공 목록을 표시하려면 다음을 입력합니다.

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    CRYPTO_USER 로그인 실패 목록을 표시하려면 다음을 입력합니다.

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    키 삭제 이벤트 성공 목록을 표시하려면 다음을 입력합니다.

Opcode CN_DESTROY_OBJECT Response SUCCESS

opcode는 HSM에서 실행된 관리 명령을 식별합니다. 감사 로그 이벤트의 HSM 관리 명령에 대한 자세한 내용은 감사 로그 참조에서 확인하십시오.

AWS 명령줄 인터페이스(AWS CLI)

1.    describe-log-groups 명령을 사용하여 로그 그룹 이름을 나열합니다.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    CRYPTO_USER 로그인 성공 목록을 표시하려면 다음 명령을 사용합니다.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    CRYPTO_USER 로그인 실패 목록을 표시하려면 다음 명령을 사용합니다.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    키 삭제 성공 목록을 표시하려면 다음 명령을 사용합니다.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

자세한 내용은 CloudWatch Logs에서 감사 로그 보기를 참조하십시오.


이 문서가 도움이 되었습니까?


결제 또는 기술 지원이 필요합니까?