HSM 監査ログの記録の仕組み

監査ログ記録はすべての AWS CloudHSM クラスターで自動的に有効になります。無効やオフにはできず、AWS CloudHSM がログを CloudWatch Logs にエクスポートすることを防ぐ設定はありません。各ログイベントには、タイムスタンプとイベントの順序を示すシーケンス番号があり、ログの改ざんを検出するために役立ちます。

HSM インスタンスごとに独自のログが生成されます。別々の HSM イベントの監査ログは、同じクラスターにある場合でも異なることがあります。たとえば、各クラスターの最初の HSM のみが HSM の初期化を記録します。初期化イベントは、バックアップからクローンされた HSM のログ記録には表示されません。同様に、キーを作成する場合、キーを生成する HSM がキーの生成イベントを記録します。クラスターの別の HSM は、同期を介してキーを受け取るときに、イベントを記録します。

AWS CloudHSM はログを収集し、それらをアカウントの CloudWatch Logs に投稿します。ユーザーに代わって CloudWatch Logs サービスと通信するために、AWS CloudHSM は [サービスにリンクされたロール] を使用します。ロールに関連付けられている IAM ポリシーでは、AWS CloudHSM は CloudWatch Logs に監査ログを送信する必要があるタスクのみを実行できます。

重要

2018 年 1 月 20 日以前にクラスターを作成し、サービスにリンクされたロールをまだ作成していない場合には、手動でこのロールを 1 つ作成する必要があります。この操作は、CloudWatch が AWS CloudHSM クラスターから監査ログを受け取るのに必要です。サービスにリンクされたロールの作成の詳細については、[サービスにリンクされたロールを理解する] と、[IAM ユーザーガイド] の [サービスにリンクされたロールを作成する] を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

監査ログ

ログの表示