Utilisation de l'infrastructure en tant que code (IaC) avec des agents de sécurité GuardDuty automatisés - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'infrastructure en tant que code (IaC) avec des agents de sécurité GuardDuty automatisés

Utilisez cette section uniquement si la liste suivante s'applique à votre cas d'utilisation :

  • Vous utilisez des outils d'infrastructure en tant que code (IaC), tels que Terraform, pour gérer vos AWS ressources, AWS Cloud Development Kit (AWS CDK) et

  • Vous devez activer la configuration GuardDuty automatique des agents pour un ou plusieurs types de ressources : Amazon EKSEC2, Amazon ou Amazon ECS -Fargate.

Présentation du graphe de dépendance des ressources IaC

Lorsque vous activez la configuration GuardDuty automatique de l'agent pour un type de ressource, vous GuardDuty créez automatiquement un VPC point de terminaison et un groupe de sécurité associés à ce VPC point de terminaison, puis installez l'agent de sécurité pour ce type de ressource. Par défaut, le point de VPC terminaison et le groupe de sécurité associé ne GuardDuty seront supprimés qu'une fois que vous aurez désactivé la surveillance du temps d'exécution. Pour de plus amples informations, veuillez consulter Désactivation, désinstallation et nettoyage des ressources dans Runtime Monitoring.

Lorsque vous utilisez un outil IaC, celui-ci gère un graphe de dépendance des ressources. Au moment de la suppression de ressources à l'aide de l'outil IaC, celui-ci supprime uniquement les ressources qui peuvent être suivies dans le cadre du graphe de dépendance des ressources. Les outils IaC peuvent ne pas connaître les ressources créées en dehors de leur configuration spécifiée. Par exemple, vous créez un VPC avec un outil IaC, puis vous y ajoutez un groupe de sécurité à l'aide VPC d'une AWS console ou d'une API opération. Dans le graphe de dépendance des ressources, la VPC ressource que vous créez dépend du groupe de sécurité associé. Si vous supprimez cette VPC ressource à l'aide de l'outil IaC, vous obtiendrez une erreur. Le moyen de contourner cette erreur consiste à supprimer manuellement le groupe de sécurité associé ou à mettre à jour la configuration IaC pour inclure cette ressource ajoutée.

Problème courant : suppression de ressources dans IaC

Lorsque vous utilisez la configuration GuardDuty automatique des agents, vous souhaiterez peut-être supprimer une ressource (AmazonEKS, Amazon ou Amazon EC2 ECS -Fargate) que vous avez créée à l'aide d'un outil IaC. Toutefois, cette ressource dépend d'un VPC point de terminaison GuardDuty créé. Cela empêche l'outil IaC de supprimer la ressource par lui-même et vous oblige à désactiver la surveillance du temps d'exécution, qui supprime automatiquement le VPC point de terminaison.

Par exemple, lorsque vous tentez de supprimer le VPC point de terminaison GuardDuty créé en votre nom, une erreur similaire aux exemples suivants s'affiche.

Exemple d'erreur lors de l'utilisation CDK

The following resource(s) failed to delete: [mycdkvpcapplicationpublicsubnet1Subnet1SubnetEXAMPLE1, mycdkvpcapplicationprivatesubnet1Subnet2SubnetEXAMPLE2]. Resource handler returned message: "The subnet 'subnet-APKAEIVFHP46CEXAMPLE' has dependencies and cannot be deleted. (Service: Ec2, Status Code: 400, Request ID: e071c3c5-7442-4489-838c-0dfc6EXAMPLE)" (RequestToken: 4381cff8-6240-208a-8357-5557b7EXAMPLE, HandlerErrorCode: InvalidRequest)

Exemple d'erreur lors de l'utilisation de Terraform

module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 19m50s elapsed] module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 20m0s elapsed] Error: deleting EC2 Subnet (subnet-APKAEIBAERJR2EXAMPLE): DependencyViolation: The subnet 'subnet-APKAEIBAERJR2EXAMPLE' has dependencies and cannot be deleted. status code: 400, request id: e071c3c5-7442-4489-838c-0dfc6EXAMPLE

Solution - Empêcher le problème de suppression de ressources

Cette section vous aide à gérer le VPC point de terminaison et le groupe de sécurité indépendamment de GuardDuty.

Pour vous approprier totalement les ressources configurées à l'aide de l'outil iAC, effectuez les étapes suivantes dans l'ordre indiqué :

  1. Créez unVPC. Pour autoriser l'entrée, associez un GuardDuty VPC point de terminaison au groupe de sécurité, à celaVPC.

  2. Activez la configuration GuardDuty automatique des agents pour votre type de ressource

Une fois les étapes précédentes terminées, il ne GuardDuty créera pas son propre VPC point de terminaison et réutilisera celui que vous avez créé à l'aide de l'outil IaC.

Pour plus d'informations sur la création du vôtreVPC, consultez Create a VPC only in the Amazon VPC Transit Gateway. Pour plus d'informations sur la création d'un VPC point de terminaison, consultez la section suivante correspondant à votre type de ressource :