Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo quitar Defender for Containers de los clústeres de EKS y el entorno de AWS. Siga estos pasos cuando necesite desinstalar completamente el servicio o solucionar problemas de implementación.
Al habilitar las funcionalidades de Defender for Containers que usan el aprovisionamiento automático o las recomendaciones para implementar manualmente funcionalidades de contenedor en recursos específicos, se instalan componentes y extensiones de Defender en su entorno. Para ayudarle a realizar un seguimiento de estos componentes, en las secciones siguientes se proporcionan tablas que muestran la característica Defender for Clouds y sus componentes, extensiones y roles instalados de Defender for Container.
Si decide dejar de usar esas funcionalidades, es posible que también quiera quitar estos componentes del entorno. Este artículo le ayuda a comprender las acciones que puede realizar para quitarlas.
Los componentes y roles se encuentran en dos categorías de tipo de eliminación:
- Se puede quitar con seguridad: los recursos y la configuración usados exclusivamente por Defender para contenedores. Puede quitar estos recursos de forma segura si ya no usa la funcionalidad asociada.
- Componente compartido : recursos que pueden usar las soluciones que no son de Defender for Cloud o otras soluciones de Defender for Cloud en el entorno de nube de destino. Si deshabilita un recurso compartido, las otras soluciones podrían verse afectadas negativamente. Antes de quitar estos recursos, revise si otras soluciones de ese entorno en la nube necesitan el recurso.
Escenarios de AWS
Recursos creados con el script de CloudFormation
| Oferta | Resource | Desincorporación manual | Información de eliminación |
|---|---|---|---|
| Evaluación de vulnerabilidades de contenedor sin agente | MDCContainersImageAssessmentRole | Eliminación de roles o perfiles de instancia: AWS Identity and Access Management (amazon.com) | Es seguro de extraer |
| Compartido entre tres servicios de contenedores: Protección contra amenazas en tiempo de ejecución del contenedor Aprovisionamiento automático del sensor de Defender para Azure Arc Aprovisionamiento automático de la extensión de Azure Policy para Azure Arc |
MDCContainersK8sRole | Eliminación de roles o perfiles de instancia: AWS Identity and Access Management (amazon.com) | Es seguro de extraer |
| Protección contra amenazas en tiempo de ejecución del contenedor | MDCContainersK8sDataCollectionRole | Eliminación de roles o perfiles de instancia: AWS Identity and Access Management (amazon.com) | Es seguro de extraer |
| Protección contra amenazas en tiempo de ejecución del contenedor | MDCContainersK8sCloudWatchToKinesisRole | Eliminación de roles o perfiles de instancia: AWS Identity and Access Management (amazon.com) | Es seguro de extraer |
| Protección contra amenazas en tiempo de ejecución del contenedor | MDCContainersK8sKinesisToS3RoleName | Eliminación de roles o perfiles de instancia: AWS Identity and Access Management (amazon.com) | Es seguro de extraer |
| Detección sin agente para Kubernetes | MDCContainersAgentlessDiscoveryK8sRole | Eliminación de roles o perfiles de instancia: AWS Identity and Access Management (amazon.com) | Es seguro de extraer |
| Proveedor de identidades necesario para todos los componentes de Defender for Cloud | ASCDefendersOIDCIdentityProvider | Elimine solo si quita todos los componentes de Defender for Cloud. Recupere una lista de los clientes del proveedor mediante la API de AWS IAM. Use la consola de AWS IAM o la CLI para eliminar el proveedor. | Componente compartido |
Recursos creados automáticamente después de la creación del conector: AWS
| Oferta | Resource | Desincorporación manual | Información de eliminación |
|---|---|---|---|
| Protección contra amenazas en el entorno de ejecución de contenedores | S3 |
Eliminación de un cubo: Amazon Simple Storage Service Este recurso se crea para cada clúster. Convención de nomenclatura: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Seguro para extraer |
| Protección contra amenazas en tiempo de ejecución del contenedor | SQS |
Eliminación de una cola de Amazon SQS: Amazon Simple Queue Service Este recurso se crea para cada clúster. Convención de nomenclatura: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Se puede quitar con seguridad |
| Protección contra amenazas en tiempo de ejecución del contenedor | Kinesis Data firehose (Amazon Kinesis Data Streams) | Para cada clúster, elimine el flujo de entrega de Amazon Kinesis Este recurso se crea para cada clúster. Convención de nomenclatura: arn:aws:firehose:< AWS Region>:< AWS Account Id>:deliverystream/azuredefender-< Cluster Name> |
Se puede quitar con seguridad |
| Protección contra amenazas en tiempo de ejecución de cargas de trabajo Endurecimiento de los planos de datos de Kubernetes |
Kubernetes habilitado con Azure Arc (Conectar los clústeres de EKS a Azure) | Elimine Kubernetes habilitado para Azure Arc para cada clúster usando la CLI de Azure o PowerShell de Azure Al ejecutar este comando se eliminan todos los recursos relacionados con Arc, incluidas las extensiones. | Se puede quitar con seguridad |
| Protección contra amenazas en tiempo de ejecución de cargas de trabajo | Sensor de Defender | Eliminación del sensor de Defender para cada clúster mediante Azure Portal, la CLI de Azure o la API REST | Se puede quitar con seguridad |
| Endurecimiento de los planos de datos de Kubernetes | Extensión de Azure Policy | Eliminación de extensiones de Defender para cada clúster mediante Azure Portal, la CLI de Azure o la API REST | Es seguro de extraer |
Eliminar extensiones de clústeres EKS
Eliminación de extensiones mediante la CLI de Azure
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Para quitar la extensión de Azure Policy:
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clústeres de Azure Arc
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Deshabilitar el plan de Defender
Uso de Azure Portal
Vaya a Microsoft Defender for Cloud>Configuración del entorno.
Seleccione su suscripción.
En la página Planes de Defender, cambie Contenedores a Desactivado.
Haga clic en Guardar.
Eliminación del conector de AWS
Uso de Azure Portal
Vaya a Microsoft Defender for Cloud>Configuración del entorno.
Busque el conector de AWS.
Seleccione el menú ... (más opciones).
Seleccione Eliminar.
Confirme la eliminación.
Comprobación de la eliminación
Comprobación de los recursos de Azure
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Comprobación de clústeres de EKS
kubectl get pods -n kube-system -l app=microsoft-defender
No se debe devolver ningún pod después de una eliminación exitosa.
Contenido relacionado
- Implementación de Defender para contenedores : para volver a habilitar la protección
- Vea la matriz de compatibilidad de contenedores en Defender for Cloud.
- Introducción a Defender for Containers : información sobre las funcionalidades