Cloud Hardware Security Module(HSM)を購入した後、セキュリティ監査を有効にすることで、HSM の実行データを監査ログの形式で Object Storage Service (OSS) バケットに自動的かつ永続的に保存できます。監査ログには、管理者の登録、キーの追加、キーのエクスポートなどの操作が記録されます。これは、コンプライアンスと監査の要件を満たすのに役立ちます。このトピックでは、有効化する方法について説明します。
前提条件
OSS が有効になっており、バケットが作成されている。詳細については、「OSS コンソールを使用して開始する」をご参照ください。
重要バケットのリージョンは、セキュリティ監査機能を有効にするリージョンと同じである必要があります。
セキュリティ監査機能を有効にした後、監査ファイルの配信を確実にするために、OSS バケットを削除しないでください。
制限事項
セキュリティ監査機能をリージョンをまたいで有効にすることはできません。たとえば、リージョン A とリージョン B の両方の HSM に対して有効にするには、両方のリージョンでそれぞれ有効にする必要があります。
セキュリティ監査機能は現在ベータ版であり、汎用仮想セキュリティモジュール(GVSM)と電子仮想セキュリティモジュール(EVSM)でのみ使用できます。
セキュリティ監査機能をサポートするリージョンは、[中国 (杭州)]、[中国 (上海)]、[中国 (北京)]、[中国 (深圳)]、および [中国 (成都)] です。
手順
Cloud Hardware Security Module コンソールにログオンし、左側のナビゲーションウィンドウで [セキュリティ監査 (ベータ)] をクリックします。
[セキュリティ監査] ページで、[セキュリティ監査を有効にする] をクリックし、次に [承認] をクリックします。
[承認] が完了すると、HSM は [AliyunServiceRoleForHSMLogDelivery] という名前のサービスロールを自動的に作成します。このロールには、OSS バケットに対する読み取りおよび書き込み権限があります。詳細については、「HSM のサービスロール」をご参照ください。
[OSS バケット] ドロップダウンリストで、HSM 監査ログを保存するバケットを選択し、[OK] をクリックします。
スイッチが緑色で [有効] と表示されている場合、セキュリティ監査機能は有効になっており、現在のリージョンのすべての HSM インスタンスの監査ログは [監査ログ配信ルール] セクションに表示されているバケットに保存されます。
セキュリティ監査機能を無効にする
[セキュリティ監査] ページで、[有効] の横にあるスイッチをクリックします。[セキュリティ監査を無効にする] ダイアログボックスで、[閉じる] をクリックします。