As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Desativação, desinstalação e remoção de recursos no Monitoramento de runtime
Esta seção se aplica Conta da AWS se você optar por desativar o Runtime Monitoring ou somente a configuração GuardDuty automatizada do agente para um tipo de recurso.
- Desativando a configuração GuardDuty automatizada do agente
-
GuardDuty não remove o agente de segurança que está implantado em seu recurso. No entanto, GuardDuty deixará de gerenciar as atualizações do agente de segurança.
GuardDuty continua recebendo os eventos de tempo de execução do seu tipo de recurso. Para evitar um impacto nas estatísticas de uso, certifique-se de remover o agente de GuardDuty segurança do seu recurso.
Se um usuário Conta da AWS usa ou não um VPC endpoint compartilhado, GuardDuty isso não exclui o VPC endpoint. Caso necessário, será preciso excluir o endpoint da VPC manualmente.
- Como desativar o Monitoramento de runtime e o Monitoramento de runtime do EKS
-
Esta seção se aplica aos seguintes cenários:
-
O Monitoramento de runtime do EKS nunca foi habilitado de forma independente e agora o Monitoramento de runtime foi desabilitado.
-
O Monitoramento de runtime e o Monitoramento de runtime EKS estão sendo desabilitados. Caso não tenha certeza sobre o status da configuração do Monitoramento de runtime do EKS, consulte Verificação do status da configuração do Monitoramento de runtime do EKS.
Como desabilitar o Monitoramento de runtime sem desabilitar o Monitoramento de runtime do EKS
Nesse cenário, em algum momento, o Monitoramento de runtime do EKS foi habilitado e, posteriormente, também foi habilitado o Monitoramento de runtime sem desabilitar o Monitoramento de runtime do EKS.
Agora, ao desabilitar o Monitoramento de runtime, também será necessário desabilitar o Monitoramento de runtime do EKS; caso contrário, continuará incorrendo em custos de uso para o Monitoramento de runtime do EKS.
Se os cenários listados anteriormente se aplicarem a você, GuardDuty tomará as seguintes ações em sua conta:
-
GuardDuty exclui o VPC endpoint que tem
GuardDutyManaged
a tag:.true
Essa é a VPC criada para gerenciar o agente de segurança automatizado. GuardDuty -
GuardDuty exclui o grupo de segurança que foi marcado como
GuardDutyManaged
:true
. -
Para uma VPC compartilhada que tenha sido usada por pelo menos uma conta participante, GuardDuty não exclui o VPC endpoint nem o grupo de segurança associado ao recurso de VPC compartilhado.
-
Para um recurso do Amazon EKS, GuardDuty exclui o agente de segurança. Isso independe de ser gerenciado manualmente ou por meio de GuardDuty.
Para um recurso do Amazon ECS, como uma tarefa do ECS é imutável, não é GuardDuty possível desinstalar o agente de segurança desse recurso. Isso independe de como você gerencia o agente de segurança — manual ou automaticamente GuardDuty. Depois de desativar o Runtime Monitoring, não GuardDuty anexará um contêiner auxiliar quando uma nova tarefa do ECS começar a ser executada. Para obter mais informações sobre como trabalhar com o Fargate-ECS, consulte o Como o Monitoramento de runtime funciona com o Fargate (apenas para Amazon ECS).
Para um EC2 recurso da Amazon, GuardDuty desinstala o agente de segurança de todas as EC2 instâncias da Amazon gerenciadas pelo Systems Manager (SSM) somente quando ele atende às seguintes condições:
-
Seu recurso não está marcado com
GuardDutyManaged
:false
tag de exclusão. -
GuardDuty deve ter permissões para acessar as tags nos metadados da instância. Para esse EC2 recurso, o Acesso às tags nos metadados da instância está definido como Permitir.
-
-
- Ao interromper o gerenciamento manual do agente de segurança
-
Independentemente da abordagem usada para implantar e gerenciar o agente de GuardDuty segurança, para parar de monitorar os eventos de tempo de execução em seu recurso, você deve remover o agente GuardDuty de segurança. Para interromper o monitoramento dos eventos de runtime de um tipo de recurso em uma conta, também é possível excluir o endpoint do Amazon VPC.