禁用和清理资源的影响 - Amazon GuardDuty
清理安全代理资源的流程
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用和清理资源的影响

Amazon Web Services 账户 如果您选择禁用 Runtime Monitoring,或者仅对资源类型禁用 GuardDuty 自动代理配置,则本节适用于您。

禁用 GuardDuty 自动代理配置

GuardDuty 不会移除部署在您的资源上的安全代理。但是, GuardDuty 将停止管理安全客户端的更新。

GuardDuty 继续接收来自您的资源类型的运行时事件。为防止影响您的使用情况统计信息,请务必从您的资源中移除 GuardDuty 安全代理。

无论是否 Amazon Web Services 账户 使用共享 VPC 终端节点,都 GuardDuty 不会删除 VPC 终端节点。如果需要,您需要手动删除 VPC 终端节点。

禁用运行时监控 EKS 运行时监控

本节适用于以下场景:

  • 您从未单独启用 EKS 运行时监控,现在您禁用了运行时监控。

  • 您正在禁用运行时监控和 EKS 运行时监控。如果您不确定 EKS 运行时监控的配置状态,请参阅检查 EKS 运行时监控配置状态

    在不禁用 EKS 运行时监控的情况下禁用运行时监控

    在这种情况下,在某个时间点,您启用了 EKS 运行时监控,然后在不禁用 EKS 运行时监控的情况下启用了运行时监控。

    现在,当您禁用 “运行时监控” 时,还需要禁用 EKS 运行时监控;否则,您将继续产生 EKS 运行时监控的使用成本。

如果前面列出的场景适用于您,则 GuardDuty 将在您的账户中执行以下操作:

  • GuardDuty 删除带有GuardDutyManaged:true标签的 VPC。这是为管理自动安全代理 GuardDuty 而创建的 VPC。

  • GuardDuty 删除标记为GuardDutyManaged:的安全组true

  • 对于已由至少一个参与者账户使用的共享 VPC, GuardDuty 既不会删除 VPC 终端节点,也不会删除与共享 VPC 资源关联的安全组。

  • 对于 Amazon EKS 资源, GuardDuty 删除安全代理。这与手动管理还是通过管理无关 GuardDuty。

    对于 Amazon ECS 资源,由于 ECS 任务是不可变的,因此 GuardDuty 无法从该资源中卸载安全代理。这与您管理安全代理的方式无关,无论是手动还是自动管理 GuardDuty。禁用运行时监控后,当新的 ECS 任务开始运行时, GuardDuty 不会附加 sidecar 容器。有关处理 Fargate-ECS 任务的信息,请参阅。运行时监控如何与 Fargate 配合使用(仅限亚马逊 ECS)

    对于 Amazon EC2 资源,只有在满足以下条件时,才能从所有 Systems Manager (SSM) 托管的 Amazon EC2 实例中 GuardDuty 卸载安全代理:

    • 您的资源标有GuardDutyManaged:false排除标签。

    • GuardDuty 必须有权访问实例元数据中的标签。对于此 EC2 资源,“访问实例元数据中的标签” 设置为 “允许”。

当您停止手动管理安全客户端时

无论使用哪种方法部署和管理 GuardDuty 安全代理,要停止监控资源中的运行时事件,都必须移除 GuardDuty 安全代理。当您想要停止监控账户中某个资源类型的运行时事件时,也可以删除 Amazon VPC 终端节点。

清理安全代理资源的流程

要删除 Amazon VPC 端点

  • 没有共享 VPC — 当您不想再监控账户中的资源时,可以考虑删除 Amazon VPC 终端节点。

  • 使用共享 VPC — 当共享 VPC 所有者账户删除仍在使用的共享 VPC 资源时,您的共享 VPC 所有者账户和参与账户中资源的运行时监控(以及 EKS 运行时监控)覆盖状态可能会变得不健康。有关保险状态的信息,请参阅评估资源的运行时间覆盖率

有关更多信息,请参阅删除接口端点

删除安全组

  • 没有共享 VPC — 当您不想再监控账户中的资源类型时,可以考虑删除与 Amazon VPC 关联的安全组。

  • 使用共享 VPC — 当共享 VPC 所有者账户删除安全组时,当前正在使用与共享 VPC 关联的安全组的任何参与者账户、共享 VPC 所有者账户中资源的运行时监控覆盖状态和参与账户都可能变得不健康。有关更多信息,请参阅 评估资源的运行时间覆盖率

有关更多信息,请参阅删除安全组

从 EKS 集群中移除 GuardDuty 安全代理

要从您的 EKS 集群中移除您不想再监控的安全代理,请参阅删除插件

删除 EKS 插件代理不会从 EKS 集群中删除 amazon-guardduty 命名空间。要删除 amazon-guardduty 命名空间,请参阅删除命名空间

删除amazon-guardduty命名空间(EKS 集群)

禁用自动代理配置不会自动从 EKS 集群中删除amazon-guardduty命名空间。要删除 amazon-guardduty 命名空间,请参阅删除命名空间