Workload Security

Workload SecurityにAWSアカウントを追加すると、次の問題が発生することがあります。

このトピックの内容:

AWSの処理に時間がかかっている

AWSが予想よりも時間がかかる場合は、次の原因が考えられます。

  1. テンプレートがまだ実行されている

    クラウドフォーメーションテンプレートが実行されている間、 Workload Security には、進行状況や完了時期に関する情報はありません。 テンプレートが正常に完了したら、Workload Security に通知が送信されます。このため、 Workload Security には、テンプレートが予定された時間内に完了していない場合にタイムアウトが発生します。タイムアウトがトリガされてもテンプレートが失敗したわけではなく、単にAWSの処理に通常より時間がかかっているだけの可能性があります。

    テンプレートのステータスを確認するには、AWSマネジメントコンソールの [Cloud Formation] セクションに移動します。ここで、「DeepSecuritySetup」という名前のスタックのステータスを確認します。ステータスフィールドにCREATE_IN_PROGRESSと表示されている場合は、テンプレートがまだ実行中であり、さらに時間が必要です。

  2. テンプレートが完了しなかった

    AWSマネジメントコンソールの [Cloud Formation] セクションのステータスフィールドにROLLBACK_IN_PROGRESS、ROLLBACK_COMPLETE、またはCREATE_FAILEDが表示されている場合は、AWSでテンプレートの作成が失敗しています。この場合、Cloud Formationインタフェースの[ Events ]タブに移動して、テンプレートが失敗した理由の詳細を確認してください。

    トレンドマイクロのテクニカルサポートに連絡してください。

リソースがこのリージョンでサポートされていない

CloudFormationテンプレートは、ラムダ関数を作成してクロスアカウントロールを作成します。AWS Lambdaはまだすべてのリージョンでサポートされているわけではないため、LambdaがサポートされていないリージョンでCloudFormationテンプレートを実行するとクラウドアカウントロールの作成に失敗します。初期設定では、ウィザードのリンクをクリックすると、米国東部 (バージニア北部) リージョンでCloudFormationテンプレートが実行されます。Lambdaが現在サポートされているその他のリージョンは次のとおりです。

  • アジアパシフィック (シンガポール)
  • アジアパシフィック (シドニー)
  • アジアパシフィック (東京)
  • 欧州 (フランクフルト)
  • 欧州 (アイルランド)
  • 米国東部 (バージニア北部)
  • 米国西部 (オレゴン)

テンプレート検証の問題

CloudFormationテンプレートを実行しているユーザに、テンプレートを実行するために必要な権限がありません。

IAMコンソールで、スクロールダウンして現在ログインしてテンプレートを実行しているユーザを探します。ユーザをダブルクリックしてユーザプロパティを開きます。[Managed Policies] および [Inline Policies] セクションまでスクロールダウンし、表示されているいずれかのポリシーの [Show Policy] リンクをクリックします。ユーザにアタッチされているポリシーの少なくとも1つに、次に示す権限がすべて含まれている必要があります。

  • cloudformation:CreateStack
  • cloudformation:DescribeStackEvents
  • cloudformation:DescribeStacks
  • cloudformation:EstimateTemplateCost
  • cloudformation:GetTemplate
  • cloudformation:GetTemplateSummary
  • cloudformation:ListStackResources
  • cloudformation:ListStacks
  • ec2:CreateTags
  • ec2:DescribeAvailabilityZones
  • ec2:DescribeImages
  • ec2:DescribeInstances
  • ec2:DescribeRegions
  • ec2:DescribeSecurityGroups
  • ec2:DescribeSubnets
  • ec2:DescribeTags
  • ec2:DescribeVpcs
  • iam:AddRoleToInstanceProfile
  • iam:AttachRolePolicy
  • iam:CreateInstanceProfile
  • iam:CreatePolicy
  • iam:CreateRole
  • iam:DeleteInstanceProfile
  • iam:DeleteRole
  • iam:DeleteRolePolicy
  • iam:GetRole
  • iam:GetRolePolicy
  • iam:PassRole
  • iam:PutRolePolicy
  • iam:RemoveRoleFromInstanceProfile
  • lambda:InvokeFunction
  • lambda:CreateFunction
  • lambda:GetFunctionConfiguration
  • sts:AssumeRole
  • sts:DecodeAuthorizationMessage
  • workspaces:DescribeWorkspaces
  • workspaces:DescribeWorkspaceDirectories
  • workspaces:DescribeWorkspaceBundles
  • workspaces:DescribeTags

Workload Security さんがAWSアカウントを追加できませんでした

Workload Security がAWSから受け取った情報は不完全です。

この場合は、システムに一時的な問題が発生している可能性があるため、ウィザードを終了してもう一度最初から実行します。

2回目のエラーが発生した場合は、テクニカルサポートに問い合わせてください。