ビュー:
CheckResourceExistence Lambda FunctionはTrend Vision One CloudFormationスタックの一部としてデプロイされます。この関数はスタック操作中にAWS resourcesの存在を確認します。
セキュリティを確保するために、関数のIAMポリシーは特定の条件を満たすリソースに対して破壊的な権限 (削除、デタッチ、タグ解除アクションなど) を制限します。これにより、関数がTrend Vision Oneに属さないリソースを誤って変更または削除することを防ぎます。

破壊的な権限に関するセキュリティ条件

CheckResourceExistence Lambda Functionは、以下の条件のいずれかを満たすリソースに対してのみ破壊的な操作を実行できます。
  1. リソースタグ付け: リソースにはTrendMicroProductタグが付いています。
  2. 命名パターン: リソース名またはARNに次のいずれかの文字列が含まれています:
    • VisionOne
    • Vision-One
    • vision-one
    • TrendMicro
    • /V1CS/ (AWS Secrets Managerリソース用)
リソースがいずれの条件も満たさない場合、CheckResourceExistence Lambda Functionはそのリソースに対して破壊的な操作を行うことができません。

影響を受けたAWSサービスとアクション

次の表は、AWSサービスとセキュリティ条件を必要とする制限付きアクションを示しています。
AWSサービス
制限されたアクション
IAM
  • ロール削除
  • DeleteRolePolicy
  • DetachRolePolicy
  • ポリシー削除
  • DeletePolicyVersion
ラムダ
  • DeleteFunction
  • DeleteLayerVersion
  • UntagResource
S3
  • バケット削除
  • DeleteBucketPolicy
  • DeleteObject
CloudWatch Logs
  • DeleteLogGroup
  • DeleteLogStream
  • UntagResource
SQSとEventBridge
  • キュー削除
  • ルール削除
  • ターゲットを削除
  • UntagResource
Secrets マネージャ
シークレット削除
手順関数
DeleteStateMachine, UntagResource
ECR
DeleteRepository, UntagResource
CodeBuild
プロジェクトを削除

無条件の権限

CheckResourceExistence Lambda Functionには、セキュリティ条件を必要としない以下の権限もあります。
  • ログ権限: CreateLogGroup, CreateLogStream, PutLogEvents
  • IAM読み取り専用権限: GetRole, GetRolePolicy, GetPolicy, GetPolicyVersion, ListAttachedRolePolicies, ListRolePolicies, ListPolicyVersions
  • CloudFormation操作: DescribeStacks, DescribeStackResources
これらの権限により、関数は標準的なログ記録を行い、IAM設定を読み取り、CloudFormationスタックと制限なくやり取りすることができます。