규정 준수 또는 보안상의 이유로 AWS CloudHSM 활동을 보거나 모니터링해야 합니다. 예를 들어 사용자가 키를 생성하거나 사용한 시간을 알아야 합니다.

CloudHSM은 HSM 인스턴스로 수집된 감사 로그를 Amazon CloudWatch Logs에 전송합니다. 자세한 내용은 AWS CloudHSM 로그 모니터링을 참조하십시오.

CloudHSM 감사 로그를 보려면 다음 지침을 따르십시오.

AWS Management Console

1.    리전에 맞는 CloudWatch 콘솔을 엽니다.

2.    탐색 창에서 [Logs]를 선택합니다.

3.    [Filter]에 로그 그룹 이름 접두사를 입력합니다(예: /aws/cloudhsm/cluster-likphkxygsn).

4.    [Log Streams]에서 클러스터 HSM ID의 로그 스트림(예: hsm-nwbbiqbj4jk)을 선택합니다.

참고: 로그 그룹, 로그 스트림 및 이벤트 필터링 사용에 대한 자세한 내용은 Viewing Audit Logs in CloudWatch Logs를 참조하십시오.

5.    로그 스트림을 확장하여 HSM 디바이스에서 수집된 감사 이벤트를 표시합니다.

6.    CRYPTO_USER 로그인 성공 목록을 표시하려면 다음을 입력합니다.

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response SUCCESS

7.    CRYPTO_USER 로그인 실패 목록을 표시하려면 다음을 입력합니다.

Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE

8.    성공한 키 삭제 이벤트 목록을 표시하려면 다음을 입력합니다.

Opcode CN_DESTROY_OBJECT Response SUCCESS

Opcode는 HSM에서 실행된 관리 명령을 식별합니다. 감사 로그 이벤트의 HSM 관리 명령에 대한 자세한 내용은 감사 로그 참조를 참조하십시오.

AWS 명령행 인터페이스(AWS CLI)

1.    describe-log-groups 명령을 사용해 로그 그룹 이름을 나열합니다.

aws logs describe-log-groups --log-group-name-prefix "/aws/cloudhsm/cluster" --query 'logGroups[*].logGroupName'

2.    CRYPTO_USER 로그인 성공 사례를 나열하려면 다음 명령을 사용합니다.

aws logs  filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd"  --log-stream-name-prefix <hsm-ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER
Response SUCCESS"  --output text"

3.    CRYPTO_USER 로그인 실패 사례를 나열하려면 다음 명령을 사용합니다.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_LOGIN User Type CN_CRYPTO_USER Response RET_USER_LOGIN_FAILURE"  --output text

4.    성공한 키 삭제 목록을 표시하려면 다음 명령을 사용합니다.

aws logs filter-log-events --log-group-name "/aws/cloudhsm/cluster-exampleabcd" --log-stream-name-prefix <hsm ID> --filter-pattern "Opcode CN_DESTROY_OBJECT Response SUCCESS" --output text

자세한 내용은 Viewing Audit Logs in CloudWatch Logs를 참조하십시오.


페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시: 2018-12-26

업데이트됨: 2019-01-09