リソースの無効化とクリーンアップの影響 - Amazon GuardDuty
セキュリティエージェントリソースをクリーンアップするプロセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースの無効化とクリーンアップの影響

このセクションは、Runtime Monitoring を無効にする AWS アカウント か、リソースタイプの GuardDuty 自動エージェント設定のみを無効にする場合、 に適用されます。

GuardDuty 自動エージェント設定の無効化

GuardDuty は、リソースにデプロイされているセキュリティエージェントを削除しません。ただし、 GuardDuty はセキュリティエージェントの更新の管理を停止します。

GuardDuty は、 リソースタイプからランタイムイベントを受信し続けます。使用状況統計への影響を防ぐには、リソースから GuardDuty セキュリティエージェントを削除してください。

が共有 VPC エンドポイント AWS アカウント を使用するかどうかにかかわらず、 GuardDuty VPC エンドポイントは削除されません。必要に応じて、VPC エンドポイントを手動で削除する必要があります。

Runtime Monitoring EKS Runtime Monitoring の無効化

このセクションは、以下のシナリオで適用されます。

  • EKS Runtime Monitoring を個別に有効にしたことはなく、Runtime Monitoring を無効にしました。

  • Runtime Monitoring と EKS Runtime Monitoring の両方を無効にしています。EKS Runtime Monitoring の設定ステータスが不明な場合は、「」を参照してくださいEKS Runtime Monitoring 設定ステータスの確認

    EKS Runtime Monitoring を無効にせずに Runtime Monitoring を無効にする

    このシナリオでは、ある時点で EKS Runtime Monitoring を有効にし、後で EKS Runtime Monitoring を無効にせずに Runtime Monitoring も有効にしました。

    ここで、Runtime Monitoring を無効にすると、EKS Runtime Monitoring も無効にする必要があります。無効にしないと、EKS Runtime Monitoring の使用コストが引き続き発生します。

前述のシナリオが当てはまる場合、 GuardDuty はアカウントで次のアクションを実行します。

  • GuardDuty は、GuardDutyManagedtrue タグを持つ VPC を削除します。これは、自動セキュリティエージェントを管理するために が作成した VPC GuardDuty です。

  • GuardDuty は、 としてタグ付けされたセキュリティグループを削除しますGuardDutyManagedtrue

  • 少なくとも 1 つの参加者アカウントで使用されている共有 VPC の場合、 は VPC エンドポイントも共有 VPC リソースに関連付けられたセキュリティグループも削除 GuardDuty しません。

  • Amazon EKS リソースの場合、 はセキュリティエージェント GuardDuty を削除します。これは、手動で管理したか、 を通じて管理したかには関係ありません GuardDuty。

    Amazon ECS リソースの場合、ECS タスクはイミュータブルであるため、そのリソースからセキュリティエージェントをアンインストール GuardDuty することはできません。これは、セキュリティエージェントの管理方法とは無関係です。手動または 経由で自動的に行います GuardDuty。Runtime Monitoring を無効にした後、新しい ECS タスクの実行が開始されると、 はサイドカーコンテナをアタッチ GuardDuty しません。Fargate-ECS タスクの操作については、「」を参照してくださいRuntime Monitoring と Fargate の連携方法 (Amazon ECS のみ)

    Amazon EC2 リソースの場合、 は、次の条件を満たす場合にのみ、Systems Manager (SSM) が管理するすべての Amazon EC2 インスタンスからセキュリティエージェントを GuardDuty アンインストールします。

    • リソースに GuardDutyManagedfalse 除外タグが付けられていません

    • GuardDuty には、インスタンスメタデータのタグにアクセスするためのアクセス許可が必要です。この EC2 リソースでは、インスタンスメタデータのタグへのアクセスを許可する に設定されます。

セキュリティエージェントの手動管理を停止した場合

GuardDuty セキュリティエージェントのデプロイと管理にどのアプローチを使用するかにかかわらず、リソース内のランタイムイベントのモニタリングを停止するには、 GuardDuty セキュリティエージェントを削除する必要があります。アカウントのリソースタイプからランタイムイベントのモニタリングを停止する場合は、Amazon VPC エンドポイントを削除することもできます。

セキュリティエージェントリソースをクリーンアップするプロセス

Amazon VPC エンドポイントを削除するには

  • 共有 VPC がない場合 – アカウントのリソースをモニタリングする必要がなくなった場合は、Amazon VPC エンドポイントの削除を検討してください。

  • 共有 VPC を使用する場合 – 共有 VPC 所有者アカウントが、まだ使用されていた共有 VPC リソースを削除すると、共有 VPC 所有者アカウントと参加アカウントのリソースの Runtime Monitoring (および該当する場合は EKS Runtime Monitoring) カバレッジステータスが異常になる可能性があります。カバレッジステータスの詳細については、「」を参照してくださいリソースのランタイムカバレッジの評価

詳細については、「インターフェイスエンドポイントを削除する」を参照してください。

セキュリティグループを削除するには

  • 共有 VPC がない場合 – アカウントのリソースタイプをモニタリングする必要がなくなった場合は、Amazon VPC に関連付けられたセキュリティグループを削除することを検討してください。

  • 共有 VPC の場合 – 共有 VPC 所有者アカウントがセキュリティグループを削除すると、共有 VPC に関連付けられたセキュリティグループを現在使用している参加者アカウント、共有 VPC 所有者アカウントおよび参加アカウントのリソースの Runtime Monitoring カバレッジステータスが異常になる可能性があります。詳細については、「リソースのランタイムカバレッジの評価」を参照してください。

詳細については、「セキュリティグループの削除」を参照してください。

EKS クラスターから GuardDuty セキュリティエージェントを削除するには

モニタリングしなくなった EKS クラスターからセキュリティエージェントを削除するには、「アドオンの削除」を参照してください。

EKS アドオンエージェントを削除しても、EKS クラスターから amazon-guardduty 名前空間は削除されません。amazon-guardduty 名前空間を削除するには、「名前空間の削除」を参照します。

amazon-guardduty名前空間を削除するには (EKS クラスター)

自動エージェント設定を無効にしても、EKS クラスターから amazon-guardduty 名前空間は自動的に削除されません。amazon-guardduty 名前空間を削除するには、「名前空間の削除」を参照します。