Runtime Monitoring でのリソースの無効化、アンインストール、クリーンアップ
このセクションでは、Runtime Monitoring を無効にするか、リソースタイプの GuardDuty 自動エージェント設定のみを無効にする場合に AWS アカウントに適用されます。
- GuardDuty 自動エージェント設定の無効化
-
GuardDuty は、リソースにデプロイされているセキュリティエージェントを削除しません。ただし、GuardDuty はセキュリティエージェントに対する更新の管理を停止します。
GuardDuty は、引き続きリソースタイプからランタイムイベントを受信します。使用統計に影響が出ないように、リソースから GuardDuty セキュリティエージェントを必ず削除してください。
AWS アカウントが共有 VPC エンドポイントを使用するかどうかにかかわらず、GuardDuty は VPC エンドポイントを削除しません。必要に応じて、VPC エンドポイントを手動で削除する必要があります。
- Runtime Monitoring および EKS Runtime Monitoring の無効化
-
このセクションは、次のシナリオに適用されます。
-
EKS Runtime Monitoring を個別に有効にしたことはないが、Runtime Monitoring を無効にした。
-
Runtime Monitoring と EKS Runtime Monitoring の両方を無効にしている。EKS Runtime Monitoring の設定ステータスが不明な場合は、「EKS Runtime Monitoring 設定ステータスの確認」を参照してください。
EKS Runtime Monitoring を無効にせずに Runtime Monitoring を無効にする
このシナリオでは、ある時点で EKS Runtime Monitoring を有効にし、後で EKS Runtime Monitoring を無効にすることなく Runtime Monitoring も有効にしました。
ここで Runtime Monitoring を無効にした場合、EKS Runtime Monitoring も無効にする必要があります。無効にしないと、EKS Runtime Monitoring の使用コストが引き続き発生します。
前述のシナリオが当てはまる場合、GuardDuty はアカウントで次のアクションを実行します。
-
GuardDuty は、
GuardDutyManaged
:true
タグを持つ VPC を削除します。これは、GuardDuty が自動セキュリティエージェントを管理するために作成した VPC です。 -
GuardDuty は、
GuardDutyManaged
:true
としてタグ付けされたセキュリティグループを削除します。 -
少なくとも 1 つの参加者アカウントで使用されている共有 VPC の場合、GuardDuty は VPC エンドポイントも共有 VPC リソースに関連付けられたセキュリティグループも削除しません。
-
Amazon EKS リソースの場合、GuardDuty はセキュリティエージェントを削除します。これは、手動で管理するか、GuardDuty を使用して管理するかには関係ありません。
Amazon ECS リソースの場合、ECS タスクはイミュータブルであるため、GuardDuty はそのリソースからセキュリティエージェントをアンインストールできません。これは、セキュリティエージェントの管理方法 (手動管理または GuardDuty による自動管理) とは関係ありません。Runtime Monitoring を無効にすると、GuardDuty は新しい ECS タスクの実行開始時にサイドカーコンテナをアタッチしません。Fargate-ECS タスクの操作については、「Fargate での Runtime Monitoring の仕組み (Amazon ECS のみ)」を参照してください。
Amazon EC2 リソースの場合、GuardDuty は、次の条件を満たす場合にのみ、すべての Systems Manager (SSM) マネージド Amazon EC2 インスタンスからセキュリティエージェントをアンインストールします。
-
リソースに
GuardDutyManaged
:false
除外タグが付けられていません。 -
GuardDuty には、インスタンスメタデータ内のタグにアクセスするアクセス許可が必要です。この EC2 リソースでは、[インスタンスメタデータのタグへのアクセス] は [許可] に設定されます。
-
-
- セキュリティエージェントの管理を手動で停止する場合
-
GuardDuty セキュリティエージェントのデプロイと管理にどのアプローチを使用するかに関係なく、リソース内のランタイムイベントのモニタリングを停止するには、GuardDuty セキュリティエージェントを削除する必要があります。アカウント内のリソースタイプからのランタイムイベントのモニタリングを停止する場合は、Amazon VPC エンドポイントを削除することもできます。