Prácticas recomendadas de supervisión de AWS CloudHSM
En esta sección se describen varios mecanismos con los que puede supervisar el clúster y la aplicación. Para obtener información adicional sobre la supervisión, consulte Supervisión de AWS CloudHSM.
Supervisión de registros de clientes
SDK de cliente genera registros que usted puede supervisar. Para obtener más información sobre los registros de cliente, consulte Trabajar con los registros de Client SDK de AWS CloudHSM.
En plataformas diseñadas para ser efímeras, como Amazon ECS y AWS Lambda, recopilar los registros de clientes a partir de un archivo puede resultar difícil. En estas situaciones, se recomienda configurar el registro de SDK de cliente para generar los registros en la consola. La mayoría de los servicios recopilarán automáticamente este resultado y lo publicarán en los registros de Amazon CloudWatch para que pueda conservarlos y consultarlos.
Si usa una integración de terceros además del SDK de cliente de AWS CloudHSM, asegúrese de configurar ese paquete de software para que registre también su salida en la consola. Dicho paquete puede registrar el resultado del SDK de cliente de AWS CloudHSM y generarlo en su propio archivo de registro.
Consulte Herramienta de configuración de Client SDK 5 de AWS CloudHSM para obtener más información sobre cómo configurar las opciones de registro en su aplicación.
Monitoreo de registros de auditoría
AWS CloudHSM publica los registros de auditoría en su cuenta de Amazon CloudWatch. Los registros de auditoría provienen del HSM, y supervisan determinadas operaciones con fines de auditoría.
Puede usar los registros de auditoría para supervisar cualquier comando de administración invocado en su HSM. Por ejemplo, puede activar una alarma cuando detecte que se está realizando una operación de administración inesperada.
Consulte Cómo funciona el registro de auditoría de HSM para obtener más detalles.
Supervisión de AWS CloudTrail
AWS CloudHSM está integrado con AWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un servicio de AWS en AWS CloudHSM. AWS CloudTrail captura todas las llamadas a la API de AWS CloudHSM como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de AWS CloudHSM y las llamadas desde el código a las operaciones de la API de AWS CloudHSM.
Puede usar AWS CloudTrail para auditar cualquier llamada a la API que se realice al plano de control de AWS CloudHSM y asegurarse de evitar posible actividad no deseada en su cuenta.
Para obtener más información, consulte Uso de AWS CloudTrail y AWS CloudHSM.
Monitorice las métricas relevantes de Amazon CloudWatch.
Utilice las métricas de Amazon CloudWatch para supervisar los clústeres AWS CloudHSM en tiempo real. Las métricas se pueden agrupar por región, por ID de clúster y por ID de HSM.
Con las métricas de Amazon CloudWatch, puede configurar las alarmas de Amazon CloudWatch para que envíen alertas ante cualquier posible problema que pueda surgir y afectar a su servicio. Recomendamos configurar alarmas para supervisar los siguientes aspectos:
Aproximación al límite de claves de un HSM
Aproximación al límite de número de sesiones de HSM en un HSM
Aproximación al límite de número de usuarios de HSM en un HSM
Diferencias en el recuento de claves o usuarios del HSM para identificar problemas de sincronización
Los HSM en mal estado impiden el escalado del clúster hasta que AWS CloudHSM resuelva el problema.
Para obtener más información, consulta Uso de Registros de Amazon CloudWatch y registros de auditoría de AWS CloudHSM.
