CheckResourceExistence Lambda Function 作為 Trend Vision One CloudFormation 堆疊的一部分進行部署。此功能在堆疊操作期間驗證 AWS 資源的存在。
為確保安全,該功能的 IAM 政策限制破壞性權限(例如刪除、分離和取消標記操作)僅適用於符合特定條件的資源。這可防止該功能意外修改或刪除不屬於 Trend Vision One 的資源。
破壞性權限的安全條件
CheckResourceExistence Lambda Function 只能對符合以下其中一個條件的資源執行破壞性操作:
-
資源標籤:該資源具有
TrendMicroProduct標籤。 -
命名模式:資源名稱或 ARN 包含以下字串之一:
VisionOneVision-Onevision-one趨勢科技/V1CS/(適用於 AWS Secrets Manager 資源)
如果資源不符合任一條件,CheckResourceExistence Lambda Function 無法對其執行破壞性操作。
受影響的 AWS 服務和操作
下表列出了 AWS 服務及需要安全條件的受限操作:
|
AWS 服務
|
受限操作
|
|
身份與存取管理
|
|
|
Lambda
|
|
|
S3
|
|
|
CloudWatch Logs
|
|
|
SQS 和 EventBridge
|
|
|
Secrets Manager
|
刪除密碼
|
|
步驟函數
|
刪除狀態機,移除資源標籤
|
|
ECR
|
刪除儲存庫,取消資源標籤
|
|
程式建置
|
刪除專案
|
非條件性權限
CheckResourceExistence Lambda Function 也具有以下不需要安全條件的權限:
-
日誌權限:CreateLogGroup、CreateLogStream、PutLogEvents
-
IAM 只讀權限:GetRole、GetRolePolicy、GetPolicy、GetPolicyVersion、ListAttachedRolePolicies、ListRolePolicies、ListPolicyVersions
-
CloudFormation 操作:DescribeStacks、DescribeStackResources
這些權限允許該功能執行標準日誌記錄、讀取 IAM 配置,並在不受限制的情況下與 CloudFormation 堆疊互動。