Verwendung von Infrastructure as Code (IaC) mit GuardDuty automatisierten Sicherheitsagenten - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Infrastructure as Code (IaC) mit GuardDuty automatisierten Sicherheitsagenten

Verwenden Sie diesen Abschnitt nur, wenn die folgende Liste auf Ihren Anwendungsfall zutrifft:

  • Sie verwenden Infrastructure-as-Code-Tools (IaC) wie Terraform, um Ihre AWS Ressourcen zu verwalten, AWS Cloud Development Kit (AWS CDK) und

  • Sie müssen die GuardDuty automatische Agentenkonfiguration für einen oder mehrere Ressourcentypen aktivieren — Amazon EKSEC2, Amazon oder Amazon ECS -Fargate.

Diagramm zur Abhängigkeit von IaC-Ressourcen im Überblick

Wenn Sie die GuardDuty automatische Agentenkonfiguration für einen Ressourcentyp aktivieren, GuardDuty werden automatisch ein VPC Endpunkt und eine diesem VPC Endpunkt zugeordnete Sicherheitsgruppe erstellt und der Security Agent für diesen Ressourcentyp installiert. Standardmäßig GuardDuty werden der VPC Endpunkt und die zugehörige Sicherheitsgruppe erst gelöscht, nachdem Sie Runtime Monitoring deaktiviert haben. Weitere Informationen finden Sie unter Ressourcen in Runtime Monitoring deaktivieren, deinstallieren und bereinigen.

Wenn Sie ein IaC-Tool verwenden, verwaltet es ein Abhängigkeitsdiagramm der Ressourcen. Zum Zeitpunkt des Löschens von Ressourcen mithilfe des IaC-Tools werden nur Ressourcen gelöscht, die als Teil des Abhängigkeitsdiagramms von Ressourcen nachverfolgt werden können. IaC-Tools wissen möglicherweise nichts über die Ressourcen, die außerhalb ihrer angegebenen Konfiguration erstellt wurden. Sie erstellen beispielsweise VPC mit einem IaC-Tool ein und fügen diesem dann VPC mithilfe einer AWS Konsole oder einer Operation eine API Sicherheitsgruppe hinzu. Im Diagramm der Ressourcenabhängigkeit hängt die VPC Ressource, die Sie erstellen, von der zugehörigen Sicherheitsgruppe ab. Wenn Sie diese VPC Ressource mithilfe des IaC-Tools löschen, wird eine Fehlermeldung angezeigt. Sie können diesen Fehler umgehen, indem Sie die zugehörige Sicherheitsgruppe manuell löschen oder die IaC-Konfiguration so aktualisieren, dass sie diese hinzugefügte Ressource enthält.

Häufiges Problem — Löschen von Ressourcen in IaC

Wenn Sie die GuardDuty automatische Agentenkonfiguration verwenden, möchten Sie möglicherweise eine Ressource (Amazon EKSEC2, Amazon oder ECS Amazon-Fargate) löschen, die Sie mithilfe eines IaC-Tools erstellt haben. Diese Ressource ist jedoch von einem VPC Endpunkt abhängig, der erstellt wurde. GuardDuty Dadurch wird verhindert, dass das IaC-Tool die Ressource selbst löscht, und Sie müssen Runtime Monitoring deaktivieren, wodurch der VPC Endpunkt automatisch gelöscht wird.

Wenn Sie beispielsweise versuchen, den in Ihrem Namen GuardDuty erstellten VPC Endpunkt zu löschen, erhalten Sie eine Fehlermeldung, die den folgenden Beispielen ähnelt.

Fehlerbeispiel bei der Verwendung CDK

The following resource(s) failed to delete: [mycdkvpcapplicationpublicsubnet1Subnet1SubnetEXAMPLE1, mycdkvpcapplicationprivatesubnet1Subnet2SubnetEXAMPLE2]. Resource handler returned message: "The subnet 'subnet-APKAEIVFHP46CEXAMPLE' has dependencies and cannot be deleted. (Service: Ec2, Status Code: 400, Request ID: e071c3c5-7442-4489-838c-0dfc6EXAMPLE)" (RequestToken: 4381cff8-6240-208a-8357-5557b7EXAMPLE, HandlerErrorCode: InvalidRequest)

Fehlerbeispiel bei der Verwendung von Terraform

module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 19m50s elapsed] module.vpc.aws_subnet.private[1]: Still destroying... [id=subnet-APKAEIVFHP46CEXAMPLE, 20m0s elapsed] Error: deleting EC2 Subnet (subnet-APKAEIBAERJR2EXAMPLE): DependencyViolation: The subnet 'subnet-APKAEIBAERJR2EXAMPLE' has dependencies and cannot be deleted. status code: 400, request id: e071c3c5-7442-4489-838c-0dfc6EXAMPLE

Lösung - Vermeiden Sie das Problem beim Löschen von Ressourcen

In diesem Abschnitt können Sie den VPC Endpunkt und die Sicherheitsgruppe unabhängig von verwalten GuardDuty.

Um die vollständige Kontrolle über die mit dem IaC-Tool konfigurierten Ressourcen zu erlangen, führen Sie die folgenden Schritte in der angegebenen Reihenfolge aus:

  1. Erstellen Sie eineVPC. Um Zugriffsberechtigungen zuzulassen, ordnen Sie dieser VPC Sicherheitsgruppe einen GuardDuty VPC Endpunkt zu.

  2. Aktivieren Sie die GuardDuty automatische Agentenkonfiguration für Ihren Ressourcentyp

Nachdem Sie die vorherigen Schritte abgeschlossen haben, GuardDuty wird kein eigener VPC Endpunkt erstellt, sondern der Endpunkt, den Sie mit dem IaC-Tool erstellt haben, wiederverwendet.

Informationen zur Erstellung Ihrer eigenen VPC finden Sie unter VPCNur in den Amazon VPC Transit Gateways erstellen. Informationen zum Erstellen eines VPC Endpunkts finden Sie im folgenden Abschnitt für Ihren Ressourcentyp: