런타임 모니터링에서 리소스 비활성화, 제거 및 정리

런타임 모니터링을 비활성화하거나 리소스 유형에 대한 자동화된 에이전트 구성만 GuardDuty 선택한 AWS 계정 경우 이 섹션은 에 적용됩니다.

GuardDuty 자동 에이전트 구성 비활성화

GuardDuty 는 리소스에 배포된 보안 에이전트를 제거하지 않습니다. 그러나 GuardDuty 는 보안 에이전트에 대한 업데이트 관리를 중지합니다.

GuardDuty 는 리소스 유형에서 런타임 이벤트를 계속 수신합니다. 사용 통계에 미치는 영향을 방지하려면 리소스에서 GuardDuty 보안 에이전트를 제거해야 합니다.

가 공유 VPC 엔드포인트를 AWS 계정 사용하는지 여부는 VPC 엔드포인트를 삭제 GuardDuty 하지 않습니다. 필요한 경우 VPC 엔드포인트를 수동으로 삭제해야 합니다.

런타임 모니터링 및 EKS 런타임 모니터링 비활성화

이 섹션은 다음 시나리오에 적용됩니다.

• EKS 런타임 모니터링을 별도로 활성화한 적이 없으며 이제 런타임 모니터링을 비활성화했습니다.

• 런타임 모니터링과 EKS 런타임 모니터링을 모두 비활성화합니다. EKS 런타임 모니터링의 구성 상태가 확실하지 않은 경우 섹션을 참조하세요EKS 런타임 모니터링 구성 상태 확인.

  런타임 모니터링을 비활성화하지 않고 EKS 런타임 모니터링 비활성화

  이 시나리오에서는 특정 시점에 EKS 런타임 모니터링을 활성화하고, 이후 런타임 모니터링을 비활성화하지 않고 EKS 런타임 모니터링을 활성화했습니다.

  이제 런타임 모니터링을 비활성화해도 EKS 런타임 모니터링을 비활성화해야 합니다. 그렇지 않으면 EKS 런타임 모니터링에 대한 사용 비용이 계속 발생합니다.

이전에 나열된 시나리오가 적용되는 경우 GuardDuty 는 계정에서 다음 작업을 수행합니다.

• GuardDuty 는 GuardDutyManaged:true 태그가 VPC 있는 를 삭제합니다. 이는 자동 보안 에이전트를 관리하기 위해 VPC GuardDuty 생성된 입니다.

• GuardDuty 는 GuardDutyManaged태그가 지정된 보안 그룹을 삭제합니다true.

• 하나 이상의 참가자 계정에서 VPC 사용한 공유의 경우 GuardDuty는 공유 VPC 리소스와 연결된 VPC 엔드포인트나 보안 그룹을 삭제하지 않습니다.

• Amazon EKS 리소스의 경우 보안 에이전트를 GuardDuty 삭제합니다. 이는 수동 또는 를 통해 관리되는지 여부와 무관합니다 GuardDuty.

  Amazon ECS 리소스의 경우 ECS 태스크를 변경할 수 없으므로 는 해당 리소스에서 보안 에이전트를 제거할 GuardDuty 수 없습니다. 이는 를 통해 보안 에이전트를 수동으로 또는 자동으로 관리하는 방법과는 무관합니다 GuardDuty. 런타임 모니터링을 비활성화한 후에는 새 ECS 작업이 실행되기 시작할 때 가 사이드카 컨테이너를 연결 GuardDuty 하지 않습니다. Fargate-ECS 작업 작업에 대한 자세한 내용은 섹션을 참조하세요런타임 모니터링이 Fargate에서 작동하는 방식(AmazonECS만 해당).

  Amazon EC2 리소스의 경우 는 다음 조건을 충족하는 경우에만 모든 Systems Manager(SSM) 관리형 Amazon EC2 인스턴스에서 보안 에이전트를 GuardDuty 제거합니다.

  • 리소스에 GuardDutyManaged:false 제외 태그가 지정되지 않았습니다.

  • GuardDuty 에는 인스턴스 메타데이터의 태그에 액세스할 수 있는 권한이 있어야 합니다. 이 EC2 리소스의 경우 인스턴스 메타데이터의 태그에 대한 액세스가 허용으로 설정됩니다.

보안 에이전트 수동 관리를 중지하는 경우

GuardDuty 보안 에이전트를 배포하고 관리하는 데 사용하는 접근 방식에 관계없이 리소스의 런타임 이벤트 모니터링을 중지하려면 GuardDuty 보안 에이전트를 제거해야 합니다. 계정의 리소스 유형에서 런타임 이벤트 모니터링을 중지하려면 Amazon VPC 엔드포인트를 삭제할 수도 있습니다.