Desativação, desinstalação e remoção de recursos no Monitoramento de runtime
Esta seção se aplica ao Conta da AWS caso opte por desativar o Monitoramento de runtime ou somente a configuração automática do agente GuardDuty para um tipo de recurso.
- Como desativar a configuração automática do agente GuardDuty
-
O GuardDuty não remove o agente de segurança implantado no seu recurso. Contudo, o GuardDuty deixará de administrar as atualizações do agente de segurança.
O GuardDuty continuará recebendo os eventos de runtime do seu tipo de recurso. Para evitar um impacto em suas estatísticas de uso, lembre-se de remover o agente de segurança do GuardDuty do seu recurso.
Independentemente de Conta da AWS usar ou não um endpoint da VPC compartilhado, o GuardDuty não exclui o endpoint da VPC. Caso necessário, será preciso excluir o endpoint da VPC manualmente.
- Como desativar o Monitoramento de runtime e o Monitoramento de runtime do EKS
-
Esta seção se aplica aos seguintes cenários:
-
O Monitoramento de runtime do EKS nunca foi habilitado de forma independente e agora o Monitoramento de runtime foi desabilitado.
-
O Monitoramento de runtime e o Monitoramento de runtime EKS estão sendo desabilitados. Caso não tenha certeza sobre o status da configuração do Monitoramento de runtime do EKS, consulte Verificação do status da configuração do Monitoramento de runtime do EKS.
Como desabilitar o Monitoramento de runtime sem desabilitar o Monitoramento de runtime do EKS
Nesse cenário, em algum momento, o Monitoramento de runtime do EKS foi habilitado e, posteriormente, também foi habilitado o Monitoramento de runtime sem desabilitar o Monitoramento de runtime do EKS.
Agora, ao desabilitar o Monitoramento de runtime, também será necessário desabilitar o Monitoramento de runtime do EKS; caso contrário, continuará incorrendo em custos de uso para o Monitoramento de runtime do EKS.
Caso os cenários previamente mencionados se apliquem ao seu caso, o GuardDuty tomará as seguintes medidas em sua conta:
-
O GuardDuty exclui o endpoint da VPC que tem a tag
GuardDutyManaged:true. Essa é a VPC que o GuardDuty criou para administrar o agente de segurança automatizado. -
O GuardDuty exclui o grupo de segurança marcado como
GuardDutyManaged:true. -
Para uma VPC compartilhada que tenha sido utilizada ao menos por uma conta participante, o GuardDuty não exclui o endpoint da VPC nem o grupo de segurança associado ao recurso da VPC compartilhada.
-
Para um recurso do Amazon EKS, o GuardDuty exclui o agente de segurança. Isso independe do fato de ser administrado manualmente ou por meio do GuardDuty.
Para um recurso do Amazon ECS, devido ao fato de uma tarefa do ECS ser imutável, o GuardDuty não pode desinstalar o agente de segurança desse recurso. Isso independe de como o agente de segurança é administrado - manual ou automaticamente por meio do GuardDuty. Depois de desabilitar o Monitoramento de runtime, o GuardDuty não anexará um contêiner auxiliar ao iniciar a execução de uma nova tarefa do ECS. Para obter mais informações sobre como trabalhar com o Fargate-ECS, consulte o Como o Monitoramento de runtime funciona com o Fargate (apenas para Amazon ECS).
Para um recurso do Amazon EC2, o GuardDuty desinstala o agente de segurança de todas as instâncias do Amazon EC2 administradas pelo Systems Manager (SSM) somente quando as seguintes condições forem atendidas:
-
Seu recurso não está marcado com
GuardDutyManaged:falsetag de exclusão. -
O GuardDuty deve ter permissões para acessar as tags nos metadados da instância. Para esse recurso do EC2, a opção Acesso a tags nos metadados da instância foi definida como Permitir.
-
-
- Ao interromper o gerenciamento manual do agente de segurança
-
Independentemente da abordagem utilizada para implantar e administrar o agente de segurança do GuardDuty, para interromper o monitoramento dos eventos de runtime no seu recurso, deve-se remover o agente de segurança do GuardDuty. Para interromper o monitoramento dos eventos de runtime de um tipo de recurso em uma conta, também é possível excluir o endpoint do Amazon VPC.
