Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución - Amazon GuardDuty

Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución

Esta sección se aplica a la Cuenta de AWS si opta por desactivar la Supervisión en tiempo de ejecución, o únicamente la configuración automatizada del agente de GuardDuty para un tipo de recurso.

Desactivar la configuración automatizada del agente de GuardDuty

GuardDuty no elimina el agente de seguridad implementado en el recurso. Sin embargo, GuardDuty dejará de administrar las actualizaciones del agente de seguridad.

GuardDuty no dejará de recibir los eventos en tiempo de ejecución del tipo de recurso. Para evitar que las estadísticas de uso se vean afectadas, asegúrese de eliminar el agente de seguridad de GuardDuty del recurso.

Tanto si una Cuenta de AWS utiliza un punto de conexión de VPC compartida como si no, GuardDuty no elimina el punto de conexión de VPC. Si es necesario, tendrá que eliminar el punto de conexión de VPC manualmente.

Desactivar la Supervisión en tiempo de ejecución y la Supervisión en tiempo de ejecución de EKS

Esta sección se aplica en los siguientes casos:

  • Nunca habilitó la Supervisión en tiempo de ejecución de EKS por separado y ahora desactivó la Supervisión en tiempo de ejecución.

  • Va a desactivar tanto la Supervisión en tiempo de ejecución como la Supervisión en tiempo de ejecución de EKS. Si no está seguro del estado de configuración de la Supervisión en tiempo de ejecución de EKS, consulte Verificar el estado de la configuración de la Supervisión en tiempo de ejecución de EKS.

    Desactivar la Supervisión en tiempo de ejecución sin desactivar la Supervisión en tiempo de ejecución de EKS

    En este caso, en algún momento, habilitó la Supervisión en tiempo de ejecución de EKS y, posteriormente, también habilitó la Supervisión en tiempo de ejecución sin desactivar la Supervisión en tiempo de ejecución de EKS.

    Ahora, al desactivar la Supervisión en tiempo de ejecución, también deberá desactivar la Supervisión en tiempo de ejecución de EKS; de lo contrario, no dejará de incurrir en gastos por el uso de la Supervisión en tiempo de ejecución de EKS.

Si los casos mencionados anteriormente se aplican a su situación, entonces GuardDuty tomará las siguientes acciones en su cuenta:

  • GuardDuty elimina la VPC que tiene la etiqueta GuardDutyManaged:true. Esta es la VPC que GuardDuty había creado para administrar el agente de seguridad automatizado.

  • GuardDuty elimina el grupo de seguridad etiquetado como GuardDutyManaged:true.

  • En el caso de una VPC compartida que ha sido utilizada por al menos una cuenta participante, GuardDuty no elimina ni el punto de conexión de VPC ni el grupo de seguridad asociado al recurso de VPC compartida.

  • En el caso de un recurso de Amazon EKS, GuardDuty elimina el agente de seguridad. Esto es independiente de si se administra manualmente o a través de GuardDuty.

    En el caso de un recurso de Amazon ECS, dado que las tareas de ECS son inmutables, GuardDuty no puede desinstalar el agente de seguridad de ese recurso. Esto es independiente de cómo se administra el agente de seguridad (manual o automáticamente a través de GuardDuty). Después de desactivar la Supervisión en tiempo de ejecución, GuardDuty no asociará un contenedor sidecar cuando se comience a ejecutar una nueva tarea de ECS. Para obtener información sobre cómo trabajar con tareas Fargate-ECS, consulte Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS).

    En el caso de un recurso de Amazon EC2, GuardDuty desinstala el agente de seguridad de todas las instancias de Amazon EC2 administradas por Systems Manager (SSM) únicamente cuando se cumplen las siguientes condiciones:

    • El recurso no está etiquetado con la etiqueta de exclusión GuardDutyManaged:false.

    • GuardDuty debe tener permisos para acceder a las etiquetas de los metadatos de instancia. Para este recurso de EC2, el Acceso a etiquetas en metadatos de instancia está establecido en Permitir.

Al dejar de administrar manualmente el agente de seguridad

Independientemente del enfoque que utilice para implementar y administrar el agente de seguridad de GuardDuty, para dejar de supervisar los eventos en tiempo de ejecución en el recurso, debe eliminar el agente de seguridad de GuardDuty. Cuando desee dejar de supervisar los eventos en tiempo de ejecución de un tipo de recurso en una cuenta, también puede eliminar el punto de conexión de Amazon VPC.