在运行时监控中禁用、卸载和清理资源 - Amazon GuardDuty

在运行时监控中禁用、卸载和清理资源

如果您选择为某个资源类型禁用运行时监控,或者仅禁用 GuardDuty 自动代理配置,则本节的内容适用于您的 AWS 账户。

禁用 GuardDuty 自动代理配置

GuardDuty 不会移除部署在资源上的安全代理。但 GuardDuty 将停止管理该安全代理的更新。

GuardDuty 会继续接收来自您的资源类型的运行时事件。要防止对使用情况统计数据造成影响,请务必从您的资源中移除该 GuardDuty 安全代理。

无论 AWS 账户是否使用共享 VPC 端点,GuardDuty 都不会删除该 VPC 端点。必要时,您将需要手动删除该 VPC 端点。

禁用运行时监控 EKS 运行时监控

本节适用于以下场景:

  • 您从未单独启用 EKS 运行时监控,并且现在您禁用了运行时监控。

  • 您要禁用运行时监控和 EKS 运行时监控。如果您不确定 EKS 运行时监控的配置状态,请参阅检查 EKS 运行时监控配置状态

    在不禁用 EKS 运行时监控的情况下禁用运行时监控

    在此场景中,您在某个时刻启用了 EKS 运行时监控,后来在未禁用 EKS 运行时监控的情况下启用了运行时监控。

    现在,当您禁用运行时监控时,您还需要禁用 EKS 运行时监控;否则您将继续产生 EKS 运行时监控的使用成本。

发生上文列出的场景时,GuardDuty 将在您的账户中执行以下操作:

  • GuardDuty 会删除带有 GuardDutyManaged:true 标签的 VPC。这是 GuardDuty 为管理自动安全代理而创建的 VPC。

  • GuardDuty 会删除标记为 GuardDutyManaged:true 的安全组。

  • 对于已由至少一个参与者账户使用的共享 VPC,GuardDuty 既不会删除 VPC 端点,也不会删除与共享 VPC 资源关联的安全组。

  • 对于 Amazon EKS 资源,GuardDuty 会删除安全代理。这与该安全组是手动管理还是通过 GuardDuty 管理无关。

    对于 Amazon ECS 资源,由于 ECS 任务是不可变的,因此 GuardDuty 无法从该资源中卸载安全代理。这与您管理安全代理的方式无关,无论是手动管理还是通过 GuardDuty 自动管理。禁用运行时监控后,当新的 ECS 任务开始运行时,GuardDuty 将不会挂载附加容器。有关使用 Fargate-ECS 任务的信息,请参阅运行时监控如何与 Fargate(仅限 Amazon ECS)结合使用

    对于 Amazon EC2 资源,只有在满足以下条件时,GuardDuty 才会从所有 Systems Manager(SSM)托管的 Amazon EC2 实例中卸载安全代理:

    • 您的资源使用 GuardDutyManaged:false 排除标签标记。

    • GuardDuty 必须拥有访问实例元数据中标签的权限。对于此 EC2 资源,访问实例元数据中的标签将设置为允许

当您停止手动管理安全代理时

无论您使用哪种方法来部署和管理 GuardDuty 安全代理,要停止监控资源中的运行时事件,都必须移除 GuardDuty 安全代理。如果要停止监控账户中某个资源类型的运行时事件,您可能还需要删除该 Amazon VPC 端点。