開通安全審計服務後,密碼機執行個體的運行資訊會自動儲存到Object Storage Service (OSS)中,並以特定的審計日誌格式進行持久化儲存,以滿足合規和審計需求。審計日誌中的資訊包括但不限於:註冊管理員、添加密鑰、匯出密鑰等操作資訊。本文介紹如何開通安全審計服務。
前提條件
已購買並啟用密碼機執行個體。具體操作,請參見購買並啟用密碼機執行個體。
已開通OSS服務並且已建立儲存空間(Bucket)。具體操作,請參見OSS快速入門。
重要Bucket所屬地區需要和將要開通安全審計服務的地區相同。
開啟安全審計期間,請勿刪除OSS Bucket,否則將會導致審計檔案投遞失敗。
使用限制
安全審計服務只支援同地區開通,不支援跨地區開通。例如,您在地區A和地區B的密碼機執行個體都需要開通安全審計服務,那麼您需要在地區A和地區B分別開通安全審計服務。
目前安全審計服務為Beta版本,僅提供給GVSM和EVSM使用。
目前支援開通安全審計服務的地區包括:華東1(杭州)、華東2(上海)、華北2(北京)、華南1(深圳)、西南1(成都)。
操作步驟
訪問Data Encryption Service控制台的安全審計服務Beta頁面,在頂部功能表列,選擇目標地區。
在安全審計服務頁面,單擊為地區開通安全審計,然後單擊授權。
完成授權後,Data Encryption Service會為您自動建立一個服務關聯角色AliyunServiceRoleForHSMLogDelivery,並且該角色擁有您的OSS服務中Bucket的讀寫權限。關於Data Encryption Service服務關聯角色的更多資訊,請參見Data Encryption Service服務關聯角色。
在OSS Bucket下拉式清單,選擇儲存密碼機執行個體審計日誌的Bucket,單擊確定。
操作結果
在安全審計服務頁面,開關表徵圖變為綠色並顯示已開通。同時,在審計日誌OSS投遞規則地區,您可以看到儲存當前地區中所有密碼機執行個體的審計日誌的Bucket。
關閉安全審計服務
如果您需要關閉安全審計服務,在安全審計服務頁面,單擊已開通右側開關表徵圖,並在關閉安全審計服務對話方塊中單擊關閉。