在运行时监控中禁用、卸载和清理资源
如果您选择为某个资源类型禁用运行时监控,或者仅禁用 GuardDuty 自动代理配置,则本节的内容适用于您的 AWS 账户。
- 禁用 GuardDuty 自动代理配置
-
GuardDuty 不会移除部署在资源上的安全代理。但 GuardDuty 将停止管理该安全代理的更新。
GuardDuty 会继续接收来自您的资源类型的运行时事件。要防止对使用情况统计数据造成影响,请务必从您的资源中移除该 GuardDuty 安全代理。
无论 AWS 账户是否使用共享 VPC 端点,GuardDuty 都不会删除该 VPC 端点。必要时,您将需要手动删除该 VPC 端点。
- 禁用运行时监控和 EKS 运行时监控
-
本节适用于以下场景:
-
您从未单独启用 EKS 运行时监控,并且现在您禁用了运行时监控。
-
您要禁用运行时监控和 EKS 运行时监控。如果您不确定 EKS 运行时监控的配置状态,请参阅检查 EKS 运行时监控配置状态。
在不禁用 EKS 运行时监控的情况下禁用运行时监控
在此场景中,您在某个时刻启用了 EKS 运行时监控,后来在未禁用 EKS 运行时监控的情况下启用了运行时监控。
现在,当您禁用运行时监控时,您还需要禁用 EKS 运行时监控;否则您将继续产生 EKS 运行时监控的使用成本。
发生上文列出的场景时,GuardDuty 将在您的账户中执行以下操作:
-
GuardDuty 会删除带有
GuardDutyManaged
:true
标签的 VPC。这是 GuardDuty 为管理自动安全代理而创建的 VPC。 -
GuardDuty 会删除标记为
GuardDutyManaged
:true
的安全组。 -
对于已由至少一个参与者账户使用的共享 VPC,GuardDuty 既不会删除 VPC 端点,也不会删除与共享 VPC 资源关联的安全组。
-
对于 Amazon EKS 资源,GuardDuty 会删除安全代理。这与该安全组是手动管理还是通过 GuardDuty 管理无关。
对于 Amazon ECS 资源,由于 ECS 任务是不可变的,因此 GuardDuty 无法从该资源中卸载安全代理。这与您管理安全代理的方式无关,无论是手动管理还是通过 GuardDuty 自动管理。禁用运行时监控后,当新的 ECS 任务开始运行时,GuardDuty 将不会挂载附加容器。有关使用 Fargate-ECS 任务的信息,请参阅运行时监控如何与 Fargate(仅限 Amazon ECS)结合使用。
对于 Amazon EC2 资源,只有在满足以下条件时,GuardDuty 才会从所有 Systems Manager(SSM)托管的 Amazon EC2 实例中卸载安全代理:
-
您的资源未使用
GuardDutyManaged
:false
排除标签标记。 -
GuardDuty 必须拥有访问实例元数据中标签的权限。对于此 EC2 资源,访问实例元数据中的标签将设置为允许。
-
-
- 当您停止手动管理安全代理时
-
无论您使用哪种方法来部署和管理 GuardDuty 安全代理,要停止监控资源中的运行时事件,都必须移除 GuardDuty 安全代理。如果要停止监控账户中某个资源类型的运行时事件,您可能还需要删除该 Amazon VPC 端点。