Uso de la infraestructura como código (IaC) con GuardDuty agentes de seguridad automatizados

Utilice esta sección únicamente si la siguiente lista se aplica a su caso de uso:

Información general sobre el gráfico de dependencia de recursos de IaC

Al habilitar la configuración GuardDuty automática de agentes para un tipo de recurso, crea GuardDuty automáticamente un punto de enlace de VPC y un grupo de seguridad asociados a este punto de enlace de VPC e instala el agente de seguridad para este tipo de recurso. De forma predeterminada, GuardDuty eliminará el punto final de la VPC y el grupo de seguridad asociado solo después de deshabilitar Runtime Monitoring. Para obtener más información, consulte Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución.

Cuando utiliza una herramienta de IaC, esta mantiene un gráfico de dependencia de los recursos. Cuando se eliminan recursos con la herramienta de IaC, únicamente se eliminan los recursos de los que se puede hacer un seguimiento como parte del gráfico de dependencia de recursos. Es posible que las herramientas de IaC no tengan conocimiento de los recursos que se crean fuera de su configuración especificada. Por ejemplo, crea una VPC con una herramienta IaC y, a continuación, agrega un grupo de seguridad a esta VPC mediante una AWS consola o una operación de API. En el gráfico de dependencias de recursos, el recurso de la VPC que crea dependerá del grupo de seguridad asociado. Si elimina este recurso de la VPC con la herramienta de IaC, se producirá un error. La forma de evitar este error es eliminar manualmente el grupo de seguridad asociado o actualizar la configuración de IaC para incluir este recurso agregado.

Problema común: eliminar recursos en IaC

Al utilizar la configuración de agentes GuardDuty automatizada, es posible que desee eliminar un recurso (Amazon EKS EC2, Amazon o Amazon ECS-Fargate) que haya creado mediante una herramienta de IaC. Sin embargo, este recurso depende del punto final de la VPC que GuardDuty haya creado. Esto impide que la herramienta IaC elimine el recurso por sí misma y requiere que desactive la Supervisión en tiempo de ejecución, que además elimina el punto de conexión de VPC automáticamente.

Por ejemplo, cuando intentes eliminar el punto de enlace de la VPC que se GuardDuty creó en tu nombre, aparecerá un error similar al que se muestra en los ejemplos siguientes.

The following resource(s) failed to delete: [mycdkvpcapplicationpublicsubnet1Subnet1SubnetEXAMPLE1, mycdkvpcapplicationprivatesubnet1Subnet2SubnetEXAMPLE2]. 
Resource handler returned message: "The subnet 'subnet-APKAEIVFHP46CEXAMPLE' has dependencies and cannot be deleted. (Service: Ec2, Status Code: 400, Request ID: e071c3c5-7442-4489-838c-0dfc6EXAMPLE)" (RequestToken: 4381cff8-6240-208a-8357-5557b7EXAMPLE, HandlerErrorCode: InvalidRequest)

module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 19m50s elapsed]
module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 20m0s elapsed]

Error: deleting EC2 Subnet (subnet-APKAEIBAERJR2EXAMPLE): DependencyViolation: The subnet 'subnet-APKAEIBAERJR2EXAMPLE' has dependencies and cannot be deleted.
       status code: 400, request id: e071c3c5-7442-4489-838c-0dfc6EXAMPLE

Solución: evite el problema de eliminación de recursos

Esta sección le ayuda a administrar el punto final de la VPC y el grupo de seguridad de forma independiente de. GuardDuty

Para adquirir la propiedad completa de los recursos configurados mediante la herramienta de IaC, siga los siguientes pasos en el orden indicado:

Tras completar los pasos anteriores, no GuardDuty creará su propio punto final de VPC y reutilizará el que creó con la herramienta IaC.

Para obtener información sobre cómo crear una VPC propia, consulte Crear una VPC únicamente en las Puertas de enlace de tránsito de Amazon VPC. Para obtener información sobre cómo crear un punto de conexión de VPC, consulte la siguiente sección para el tipo de recurso: