HSM 감사 로깅 작동 방식

모든 AWS CloudHSM 클러스터에서 자동으로 감사 로깅이 활성화됩니다. 감사 로깅은 비활성화하거나 끌 수 없으며, 어떤 설정으로도 AWS CloudHSM에서 로그를 CloudWatch Logs로 내보내는 것을 방지할 수 없습니다. 각 로그 이벤트에는 이벤트 순서를 나타내며 로그 훼손을 감지할 수 있도록 하는 타임스탬프와 시퀀스 번호가 있습니다.

각 HSM 인스턴스는 자체 로그를 생성합니다. 다양한 HSM의 감사 로그는 동일한 클러스터에 있는 경우에도 다를 수 있습니다. 예를 들어, 각 클러스터의 첫 번째 HSM만 HSM의 초기화를 기록합니다. 백업에서 복제된 HSM의 로그에는 초기화 이벤트가 나타나지 않습니다. 마찬가지로, 키를 생성할 때 키를 생성하는 HSM이 키 생성 이벤트를 기록합니다. 클러스터의 다른 HSM은 동기화를 통해 키를 수신할 때 이벤트를 기록합니다.

AWS CloudHSM은 로그를 수집하고 계정의 ​​CloudWatch Logs에 게시합니다. 사용자 대신 CloudWatch Logs 서비스와 통신하기 위해 AWS CloudHSM은 서비스 연결 역할을 사용합니다. 이 역할과 연결된 IAM 정책은 AWS CloudHSM이 감사 로그를 CloudWatch Logs에 전송하는 데 필요한 작업만 수행할 수 있도록 합니다.