Utilizzo di Infrastructure as Code (IaC) con agenti di sicurezza automatizzati GuardDuty

Utilizza questa sezione solo se il seguente elenco si applica al tuo caso d'uso:

Panoramica del grafico delle dipendenze delle risorse IaC

Quando abiliti la configurazione GuardDuty automatica dell'agente per un tipo di risorsa, crea GuardDuty automaticamente un endpoint VPC e un gruppo di sicurezza associati a questo endpoint VPC e installa il security agent per questo tipo di risorsa. Per impostazione predefinita, GuardDuty eliminerà l'endpoint VPC e il gruppo di sicurezza associato solo dopo aver disabilitato il Runtime Monitoring. Per ulteriori informazioni, consulta Disattivazione, disinstallazione e pulizia delle risorse in Runtime Monitoring.

Quando si utilizza uno strumento IAc, questo mantiene un grafico delle dipendenze delle risorse. Al momento dell'eliminazione delle risorse utilizzando lo strumento IAc, elimina solo le risorse che possono essere tracciate come parte del grafico delle dipendenze delle risorse. Gli strumenti IAc potrebbero non conoscere le risorse create al di fuori della configurazione specificata. Ad esempio, si crea un VPC con uno strumento IaC e quindi si aggiunge un gruppo di sicurezza a questo VPC utilizzando la AWS console o un'operazione API. Nel grafico delle dipendenze delle risorse, la risorsa VPC creata dipende dal gruppo di sicurezza associato. Se elimini questa risorsa VPC utilizzando lo strumento IAc, riceverai un errore. Il modo per aggirare questo errore consiste nell'eliminare manualmente il gruppo di sicurezza associato o nell'aggiornare la configurazione IAc per includere questa risorsa aggiunta.

Problema comune: eliminazione di risorse in IAc

Quando utilizzi la configurazione GuardDuty automatica degli agenti, potresti voler eliminare una risorsa (Amazon EKS EC2, Amazon o Amazon ECS-Fargate) creata utilizzando uno strumento IaC. Tuttavia, questa risorsa dipende dall'endpoint VPC creato. GuardDuty Ciò impedisce allo strumento IaC di eliminare la risorsa da solo e richiede di disabilitare il Runtime Monitoring, che elimina ulteriormente l'endpoint VPC automaticamente.

Ad esempio, quando tenti di eliminare l'endpoint VPC GuardDuty creato per tuo conto, riceverai un errore simile agli esempi seguenti.

The following resource(s) failed to delete: [mycdkvpcapplicationpublicsubnet1Subnet1SubnetEXAMPLE1, mycdkvpcapplicationprivatesubnet1Subnet2SubnetEXAMPLE2]. 
Resource handler returned message: "The subnet 'subnet-APKAEIVFHP46CEXAMPLE' has dependencies and cannot be deleted. (Service: Ec2, Status Code: 400, Request ID: e071c3c5-7442-4489-838c-0dfc6EXAMPLE)" (RequestToken: 4381cff8-6240-208a-8357-5557b7EXAMPLE, HandlerErrorCode: InvalidRequest)

module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 19m50s elapsed]
module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 20m0s elapsed]

Error: deleting EC2 Subnet (subnet-APKAEIBAERJR2EXAMPLE): DependencyViolation: The subnet 'subnet-APKAEIBAERJR2EXAMPLE' has dependencies and cannot be deleted.
       status code: 400, request id: e071c3c5-7442-4489-838c-0dfc6EXAMPLE

Soluzione: prevenire il problema dell'eliminazione delle risorse

Questa sezione ti aiuta a gestire l'endpoint VPC e il gruppo di sicurezza indipendentemente da. GuardDuty

Per ottenere la proprietà completa delle risorse configurate utilizzando lo strumento IaC, effettuate le seguenti operazioni nell'ordine elencato:

Dopo aver completato i passaggi precedenti, non GuardDuty creerà il proprio endpoint VPC e riutilizzerà quello creato utilizzando lo strumento IaC.

Per informazioni sulla creazione del tuo VPC, consulta Creare un VPC solo negli Amazon VPC Transit Gateway. Per informazioni sulla creazione di un endpoint VPC, consulta la sezione seguente per il tipo di risorsa: