Ansichten:
Die CheckResourceExistence Lambda Function wird als Teil des Trend Vision One CloudFormation-Stacks bereitgestellt. Diese Funktion überprüft die Existenz von AWS-Ressourcen während der Stack-Operationen.
Um die Sicherheit zu gewährleisten, beschränkt die IAM-Richtlinie der Funktion destruktive Berechtigungen (wie Löschen, Trennen und Entfernen von Tags) auf Ressourcen, die bestimmte Bedingungen erfüllen. Dies verhindert, dass die Funktion versehentlich Ressourcen modifiziert oder löscht, die nicht zu Trend Vision One gehören.

Sicherheitsbedingungen für destruktive Berechtigungen

Die CheckResourceExistence Lambda Function kann nur destruktive Aktionen an Ressourcen ausführen, die eine der folgenden Bedingungen erfüllen:
  1. Ressourcentagging: Die Ressource hat das TrendMicroProduct-Tag.
  2. Benennungsmuster: Der Ressourcenname oder ARN enthält einen der folgenden Strings:
    • VisionOne
    • Vision-One
    • vision-one
    • TrendMicro
    • /V1CS/ (für AWS Secrets Manager-Ressourcen)
Wenn eine Ressource keine der beiden Bedingungen erfüllt, kann die CheckResourceExistence Lambda Function keine destruktiven Aktionen darauf ausführen.

Betroffene AWS-Dienste und Aktionen

The following table lists the AWS services and the restricted actions that require the security conditions:
AWS-Dienst
Eingeschränkte Aktionen
IAM
  • RolleLöschen
  • RollenrichtlinieLöschen
  • Richtlinie von Rolle trennen
  • Löschrichtlinie
  • LöschePolicyVersion
Lambda
  • FunktionLöschen
  • LöscheEbenenVersion
  • RessourceEntmarken
S3
  • BucketLöschen
  • DeleteBucketPolicy
  • ObjektLöschen
CloudWatch Logs
  • LöscheProtokollgruppe
  • DeleteLogStream
  • RessourceEntmarken
SQS und EventBridge
  • WarteschlangeLöschen
  • RegelLöschen
  • ZieleEntfernen
  • RessourceEntmarken
Secrets Manager
GeheimnisLöschen
Schrittfunktionen
DeleteStateMachine, UntagResource
ECR
DeleteRepository, UntagResource
CodeBuild
ProjektLöschen

Nicht bedingte Berechtigungen

Die CheckResourceExistence Lambda Function verfügt auch über die folgenden Berechtigungen, die keine Sicherheitsbedingungen erfordern:
  • Protokollierungsberechtigungen: CreateLogGroup, CreateLogStream, PutLogEvents
  • IAM-Berechtigungen nur zum Lesen: GetRole, GetRolePolicy, GetPolicy, GetPolicyVersion, ListAttachedRolePolicies, ListRolePolicies, ListPolicyVersions
  • CloudFormation-Operationen: DescribeStacks, DescribeStackResources
Diese Berechtigungen ermöglichen es der Funktion, standardmäßiges Logging durchzuführen, IAM-Konfigurationen zu lesen und ohne Einschränkungen mit CloudFormation-Stacks zu interagieren.