Cómo funciona el registro de auditoría de HSM - AWS CloudHSM

Cómo funciona el registro de auditoría de HSM

El registro de auditoría se habilita automáticamente en todos los clústeres de AWS CloudHSM. No puede deshabilitarse ni apagarse, y ningún ajuste puede evitar que AWS CloudHSM exporte los registros a los registros de CloudWatch. Cada evento de registro tiene una marca temporal y un número de secuencia que indican el orden de los eventos y le ayudan a detectar cualquier intento de manipulación del registro.

Cada instancia de HSM genera su propio registro. Los registros de auditoría de los distintos HSM, incluidos aquellos que están en el mismo clúster, pueden ser diferentes. Por ejemplo, solo el primer HSM de cada clúster registra la inicialización del HSM. Los eventos de inicialización no aparecen en los registros de los HSM que se clonan de las copias de seguridad. Del mismo modo, cuando se crea una clave, el HSM que la genera registra un evento de generación de clave. Los demás HSM del clúster registran un evento cuando reciben la clave a través de una sincronización.

AWS CloudHSM recopila los registros y los publica en los registros de CloudWatch en su cuenta. Para comunicarse con el servicio de registros de CloudWatch en su nombre, AWS CloudHSM utiliza un rol vinculado a un servicio. La política de IAM que está asociada al rol permite que AWS CloudHSM efectúe únicamente las tareas necesarias para enviar los registros de auditoría a los registros de CloudWatch.

importante

Si creó un clúster antes del 20 de enero de 2018 pero no ha creado ninguna función vinculada al servicio asociada, debe crear una manualmente. Esto es necesario para que CloudWatch pueda recibir los registros de auditoría del clúster de AWS CloudHSM. Para obtener más información acerca de la creación de roles vinculados a servicios, consulte Descripción de los roles vinculados a servicios y Cómo crear un rol vinculado a un servicio en la guía del usuario de IAM.