런타임 모니터링에서 리소스 비활성화, 제거 및 정리하기
이 섹션은 런타임 모니터링을 비활성화하거나 리소스 유형에 대한 GuardDuty 자동 에이전트 구성만 비활성화하도록 선택한 경우 AWS 계정에 적용됩니다.
- GuardDuty 자동 에이전트 구성 비활성화
-
GuardDuty는 리소스에 배포된 보안 에이전트를 제거하지 않습니다. 하지만 GuardDuty는 보안 에이전트에 대한 업데이트 관리를 중지합니다.
GuardDuty는 리소스 유형으로부터 런타임 이벤트를 계속 수신합니다. 사용량 통계에 영향을 미치지 않도록 하려면 리소스에서 GuardDuty 보안 에이전트를 제거하세요.
AWS 계정가 공유 VPC 엔드포인트를 사용하는지 여부에 관계없이 GuardDuty는 VPC 엔드포인트를 삭제하지 않습니다. 필요한 경우 VPC 엔드포인트를 수동으로 삭제해야 합니다.
- 런타임 모니터링 및 EKS 런타임 모니터링 비활성화
-
이 섹션은 다음 시나리오에 적용됩니다.
-
EKS 런타임 모니터링을 별도로 활성화하지 않았는데 이제 런타임 모니터링을 비활성화했습니다.
-
런타임 모니터링과 EKS 런타임 모니터링을 모두 비활성화합니다. EKS 런타임 모니터링의 구성 상태가 확실하지 않은 경우 EKS 런타임 모니터링 구성 상태 확인을 참조하세요.
EKS 런타임 모니터링을 비활성화하지 않고 런타임 모니터링 비활성화하기
이 시나리오에서는 특정 시점에 EKS 런타임 모니터링을 활성화하고, 이후 EKS 런타임 모니터링을 비활성화하지 않고 런타임 모니터링을 활성화했습니다.
이제 런타임 모니터링을 비활성화하면 EKS 런타임 모니터링도 비활성화해야 하며, 그렇지 않으면 EKS 런타임 모니터링에 대한 사용 비용이 계속 발생하게 됩니다.
이전에 나열된 시나리오가 적용되는 경우 GuardDuty는 계정에서 다음 작업을 수행합니다.
-
GuardDuty는
GuardDutyManaged
:true
태그가 있는 VPC를 삭제합니다. 이는 GuardDuty가 자동 보안 에이전트를 관리하기 위해 생성한 VPC입니다. -
GuardDuty는
GuardDutyManaged
:true
태그가 지정된 보안 그룹을 삭제합니다. -
하나 이상의 참가자 계정에서 사용한 공유 VPC의 경우, GuardDuty는 VPC 엔드포인트나 공유 VPC 리소스와 연결된 보안 그룹을 삭제하지 않습니다.
-
Amazon EKS 리소스의 경우 GuardDuty는 보안 에이전트를 삭제합니다. 이는 수동으로 관리하든 GuardDuty를 통해 관리하든 관계없이 독립적입니다.
Amazon ECS 리소스의 경우, ECS 작업은 변경할 수 없으므로 GuardDuty는 해당 리소스에서 보안 에이전트를 제거할 수 없습니다. 이는 GuardDuty를 통해 보안 에이전트를 수동으로 또는 자동으로 관리하는 방법과 무관합니다. 런타임 모니터링을 비활성화하면 새 ECS 작업이 실행되기 시작할 때 GuardDuty가 사이드카 컨테이너를 첨부하지 않습니다. Fargate-ECS 작업 작업에 대한 자세한 내용은 런타임 모니터링이 Fargate에서 작동하는 방식(Amazon ECS만 해당)를 참조하십시오.
Amazon EC2 리소스의 경우, 다음 조건을 충족하는 경우에만 GuardDuty는 모든 SSM(시스템 관리자) 관리형 Amazon EC2 인스턴스에서 보안 에이전트를 제거합니다:
-
리소스에
GuardDutyManaged
:false
제외 태그가 지정되지 않았습니다. -
GuardDuty에는 인스턴스 메타데이터의 태그에 액세스할 수 있는 권한이 있어야 합니다. 이 EC2 리소스의 경우 인스턴스 메타데이터의 태그에 대한 액세스가 허용으로 설정됩니다.
-
-
- 보안 에이전트 수동 관리를 중지하는 경우
-
GuardDuty 보안 에이전트를 배포하고 관리하는 데 어떤 방식을 사용하든 리소스에서 런타임 이벤트 모니터링을 중지하려면 GuardDuty 보안 에이전트를 제거해야 합니다. 계정의 리소스 유형에서 런타임 이벤트 모니터링을 중지하려는 경우 Amazon VPC 엔드포인트를 삭제할 수도 있습니다.