AWS CloudHSM モニタリングのベストプラクティス

このセクションでは、クラスターとアプリケーションのモニタリングに使用できる複数のメカニズムについて説明します。モニタリングの詳細については、「AWS CloudHSM のモニタリング」を参照してください。

クライアントログのモニタリング

すべてのクライアント SDK には、監視可能なログが書き込まれます。ログ記録の詳細については、「AWS CloudHSM クライアント SDKログの操作」を参照してください。

Amazon ECS や AWS Lambda のように一時的なものとして設計されたプラットフォームでは、ファイルからクライアントログを収集するのが難しい場合があります。このような状況では、ログをコンソールに書き込むようにクライアント SDK ロギングを設定するのがベストプラクティスです。ほとんどのサービスでは、この出力を自動的に収集して Amazon CloudWatch Logsに公開し、ユーザーが保存して確認できるようにします。

AWS CloudHSM クライアント SDK に加えてサードパーティのインテグレーションを使用している場合は、その出力をコンソールにも記録するようにそのソフトウェアパッケージを設定する必要があります。それ以外の場合は、AWS CloudHSM クライアント SDK からの出力がこのパッケージによってキャプチャされ、独自のログファイルに書き込まれる可能性があります。

アプリケーションのロギングオプションの設定方法については、「AWS CloudHSM クライアント SDK 5 設定ツール」を参照してください。

監査ログのモニタリング

AWS CloudHSM は Amazon CloudWatch アカウントに監査ログを公開します。監査ログは HSM から取得され、監査目的で特定のオペレーションを追跡します。

監査ログを使用して、HSM で呼び出された管理コマンドを追跡できます。たとえば、予期しない管理オペレーションが実行されていることに気付いたときにアラームをトリガーできます。

詳細については、「HSM 監査ログの記録の仕組み」を参照してください。

AWS CloudTrail のモニタリング

AWS CloudHSM は、AWS CloudTrail のユーザー、ロール、または AWS のサービスによって実行されたアクションを記録するサービスである AWS CloudHSM と統合されています。AWS CloudTrail は、AWS CloudHSM のすべての API コールをイベントとしてキャプチャします。キャプチャされたコールには、AWS CloudHSM コンソールのコールと、AWS CloudHSM API オペレーションへのコードのコールが含まれます。

AWS CloudTrail を使用すると、AWS CloudHSM コントロールプレーンに対して行われた API コールを監査して、アカウント内で不要なアクティビティが発生していないことを確認できます。

詳細については、「AWS CloudTrail と AWS CloudHSM を操作する」を参照してください。

Amazon CloudWatch メトリクスのモニタリング

Amazon CloudWatch を使用して、リアルタイムで AWS CloudHSM クラスターをモニタリングします。メトリクスは、リージョン、クラスター ID、HSM ID、およびクラスター ID ごとにグループ化できます。

Amazon CloudWatch メトリックスを使用すると、サービスに影響を及ぼす可能性のある潜在的な問題を警告するように Amazon CloudWatch アラームを設定できます。以下を監視するようにアラームを設定することをお勧めします。

詳細については、「Amazon CloudWatch Logs と AWS CloudHSM 監査ログの使用」を参照してください。