Práticas recomendadas de monitoramento do AWS CloudHSM - AWS CloudHSM
Monitoramento de logs do clienteMonitoramento de logs de auditoriaMonitorar o AWS CloudTrailMonitore as métricas relevantes do Amazon CloudWatch

Práticas recomendadas de monitoramento do AWS CloudHSM

Esta seção descreve vários mecanismos que você pode usar para monitorar seu cluster e aplicativo. Para obter detalhes adicionais sobre monitoramento, consulte Como monitorar o AWS CloudHSM.

Monitoramento de logs do cliente

Cada Client SDK grava registros que você pode monitorar. Para obter mais informações sobre registro em log, consulte Trabalhar com logs do Client SDK do AWS CloudHSM.

Em plataformas projetadas para serem efêmeras, como Amazon ECS e AWS Lambda, coletar registros de clientes de um arquivo pode ser difícil. Nessas situações, é uma prática recomendada configurar o registro do Client SDK para gravar logs no console. A maioria dos serviços coletará automaticamente essa saída e a publicará no Amazon CloudWatch logs para você mantê-la e visualizá-la.

Se você estiver usando qualquer integração de terceiros além do Client SDK do AWS CloudHSM, certifique-se de configurar esse pacote de software para registrar também sua saída no console. Caso contrário, a saída do Client SDK do AWS CloudHSM pode ser capturada por esse pacote e gravada em seu próprio arquivo de log.

Consulte o Ferramenta de configuração do Client SDK 5 do AWS CloudHSM para obter informações sobre como configurar as opções de registro em seu aplicativo.

Monitoramento de logs de auditoria

AWS CloudHSM publica registros de auditoria na sua conta do Amazon CloudWatch. Os registros de auditoria vêm do HSM e rastreiam determinadas operações para fins de auditoria.

Você pode usar registros de auditoria para acompanhar todos os comandos de gerenciamento que são invocados no seu HSM. Por exemplo, você pode acionar um alarme ao perceber que uma operação de gerenciamento inesperada está sendo executada.

Consulte Como funciona o registro em log de auditoria do HSM para obter mais detalhes.

Monitorar o AWS CloudTrail

O AWS CloudHSM é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações executadas por um usuário, por uma função ou por um serviço da AWS no AWS CloudHSM. O AWS CloudTrail captura todas as chamadas de API para o AWS CloudHSM como eventos. As chamadas capturadas incluem as aquelas do AWS CloudHSM console e chamadas de código para operações API da AWS CloudHSM.

Você pode usar AWS CloudTrail para auditar qualquer chamada de API feita ao ambiente de gerenciamento do AWS CloudHSM para garantir que nenhuma atividade indesejada esteja ocorrendo em sua conta.

Para mais detalhes, consulte Trabalhar com AWS CloudTrail e AWS CloudHSM.

Monitore as métricas relevantes do Amazon CloudWatch

Você pode usar as métricas do Amazon CloudWatch para monitorar seus cluster do AWS CloudHSM em tempo real. As métricas podem ser agrupadas por região, pelo ID do cluster ou pelo ID do HSM e ID do cluster.

Usando as métricas do Amazon CloudWatch, você pode configurar os alarmes do Amazon CloudWatch para alertá-lo sobre qualquer possível problema que possa surgir e que possa afetar seu serviço. Recomendamos configurar alarmes para monitorar o seguinte:

  • Aproximação do limite de chaves em um HSM

  • Aproximação do limite de contagem de sessões do HSM em um HSM

  • Aproximação do limite de contagem de usuários do HSM em um HSM

  • Diferenças na contagem de usuários ou chaves do HSM para identificar problemas de sincronização

  • HSMs não íntegros para escalar seu cluster até que AWS CloudHSM possa resolver o problema

Consulte mais detalhes em Como trabalhar com o Amazon CloudWatch Logs e o AWS CloudHSM Logs de auditoria.