购买加密服务后,您可以开通安全审计服务,将密码机实例的运行信息自动保存到对象存储 OSS(Object Storage Service)中,并以特定的审计日志格式进行持久化储存,以满足合规和审计需求。本文介绍如何开通安全审计服务。
前提条件
已购买并启用密码机实例。具体操作,请参见购买并启用密码机实例。
已开通OSS服务并且已创建存储空间(Bucket)。具体操作,请参见OSS快速入门。
重要Bucket所属地域需要和将要开通安全审计服务的地域相同。
开启安全审计期间,请勿删除OSS Bucket,否则将会导致审计文件投递失败。
使用限制
安全审计服务只支持同地域开通,不支持跨地域开通。例如,您在地域A和地域B的密码机实例都需要开通安全审计服务,那么您需要在地域A和地域B分别开通安全审计服务。
目前安全审计服务为Beta版本,仅提供给GVSM和EVSM使用。
目前支持开通安全审计服务的地域包括:华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、西南1(成都)。
操作步骤
访问加密服务控制台的安全审计服务Beta页面,在顶部菜单栏,选择目标地域。
在安全审计服务页面,单击为地域开通安全审计,然后单击授权。
完成授权后,加密服务会为您自动创建一个服务关联角色AliyunServiceRoleForHSMLogDelivery,并且该角色拥有您的OSS服务中Bucket的读写权限。关于加密服务服务关联角色的更多信息,请参见加密服务服务关联角色。
在OSS Bucket下拉列表,选择存储密码机实例审计日志的Bucket,单击确定。
操作结果
在安全审计服务页面,开关图标变为绿色并显示已开通。同时,在审计日志OSS投递规则区域,您可以看到存储当前地域中所有密码机实例的审计日志的Bucket。
关闭安全审计服务
如果您需要关闭安全审计服务,在安全审计服务页面,单击已开通右侧开关图标,并在关闭安全审计服务对话框中单击关闭。