Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como remover o Defender para Contêineres de seus clusters EKS e do ambiente AWS. Siga estas etapas quando precisar desinstalar completamente o serviço ou solucionar problemas de implantação.
Quando você habilita recursos do Defender para Contêineres que usam o provisionamento automático ou usa recomendações para implantar manualmente recursos de contêiner em recursos específicos, instale componentes e extensões do Defender em seu ambiente. Para ajudá-lo a acompanhar esses componentes, as seções a seguir fornecem tabelas que mostram o recurso Defender para Nuvens e seus componentes, extensões e funções do Defender para Contêiner instalados.
Se você decidir parar de usar esses recursos, talvez também queira remover esses componentes do seu ambiente. Este artigo ajuda você a entender as ações que você pode executar para removê-las.
Os componentes e as funções se enquadram em duas categorias de tipo de remoção:
- Seguro para remover – recursos e configurações usados exclusivamente pelo Defender para contêineres. Você poderá remover esses recursos com segurança se não estiver mais usando a funcionalidade associada.
- Componente compartilhado – recursos que podem ser usados por soluções não Defender para Nuvem ou por outras soluções do Defender para Nuvem no ambiente de nuvem de destino. Se você desabilitar um recurso compartilhado, as outras soluções poderão ser afetadas negativamente. Antes de remover esses recursos, examine se outras soluções nesse ambiente de nuvem precisam do recurso.
Cenários do AWS
Recursos criados com script CloudFormation
| Oferenda | Resource | Remoção manual | Informações sobre remoção |
|---|---|---|---|
| Avaliação de vulnerabilidade de contêiner sem agente | MDCContainersImageAssessmentRole | Excluindo funções ou perfis de instância – Gerenciamento de Identidade e Acesso do AWS (amazon.com) | Seguro para remover |
| Compartilhado entre três ofertas de contêineres: Proteção contra ameaças no tempo de execução do contêiner Provisionar automaticamente o sensor do Defender para o Azure Arc Provisionar automaticamente a extensão do Azure Policy para o Azure Arc |
MDCContainersK8sRole | Excluindo funções ou perfis de instância – Gerenciamento de Identidade e Acesso do AWS (amazon.com) | Seguro para remover |
| Proteção contra ameaças no tempo de execução do contêiner | MDCContainersK8sDataCollectionRole | Excluindo funções ou perfis de instância – Gerenciamento de Identidade e Acesso do AWS (amazon.com) | Seguro para remover |
| Proteção contra ameaças no tempo de execução do contêiner | MDCContainersK8sCloudWatchToKinesisRole | Excluindo funções ou perfis de instância – Gerenciamento de Identidade e Acesso do AWS (amazon.com) | Seguro para remover |
| Proteção contra ameaças no tempo de execução do contêiner | MDCContainersK8sKinesisToS3RoleName | Excluindo funções ou perfis de instância – Gerenciamento de Identidade e Acesso do AWS (amazon.com) | Seguro para remover |
| Descoberta sem agente para Kubernetes | MDCContainersAgentlessDiscoveryK8sRole | Excluindo funções ou perfis de instância – Gerenciamento de Identidade e Acesso do AWS (amazon.com) | Seguro para remover |
| Provedor de identidade necessário para todos os componentes do Defender para Nuvem | ASCDefendersOIDCIdentityProvider | Exclua apenas se estiver removendo todos os componentes do Defender para Nuvem. Recupere uma lista dos clientes do provedor usando a API IAM do AWS. Use o console ou a CLI do IAM do AWS para excluir o provedor. | Componente compartilhado |
Recursos criados automaticamente após a criação do conector – AWS
| Oferenda | Resource | Remoção manual | Informações sobre remoção |
|---|---|---|---|
| Proteção contra ameaças no tempo de execução do contêiner | S3 |
Excluindo um bucket – Amazon Simple Storage Service Esse recurso é criado para cada cluster. Convenção de nomenclatura: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Seguro para remover |
| Proteção contra ameaças no tempo de execução do contêiner | SQS |
Excluindo uma fila do Amazon SQS – Amazon Simple Queue Service Esse recurso é criado para cada cluster. Convenção de nomenclatura: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Seguro para remover |
| Proteção contra ameaças no tempo de execução do contêiner | Kinesis Data Firehose (Amazon Kinesis Data Streams) | Para cada cluster, exclua o fluxo de Entrega do Amazon Kinesis Esse recurso é criado para cada cluster. Convenção de nomenclatura: arn:aws:firehose:< AWS Region>:< AWS Account Id>:deliverystream/azuredefender-< Cluster Name> |
Seguro para remover |
| Proteção contra ameaças no tempo de execução de cargas de trabalho Proteção do plano de dados do Kubernetes |
Kubernetes com suporte para Azure Arc (conecta seus clusters EKS ao Azure) | Remova o Kubernetes habilitado para Azure Arc de cada cluster por meio da CLI do Azure ou do Azure PowerShell. Ao executar esse comando, exclui-se todos os recursos relacionados ao Arc, incluindo extensões. | Seguro para remover |
| Proteção contra ameaças em tempo de execução de carga de trabalho | Sensor do Defender | Remover o sensor do Defender para cada cluster usando o portal do Azure, a CLI do Azure ou a API REST | Seguro para remover |
| Proteção do plano de dados do Kubernetes | Extensão do Azure Policy | Remover extensões do Defender para cada cluster usando o portal do Azure, a CLI do Azure ou a API REST | Seguro para remover |
Remover extensões dos clusters EKS
Remover extensões usando a CLI do Azure
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Para remover a extensão do Azure Policy:
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clusters do Azure Arc
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Desabilitar o plano do Defender
Usando o portal do Azure
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione sua assinatura.
Na página de planos do Defender, alterne Containers para Desativado.
Clique em Salvar.
Excluir conector do AWS
Usando o portal do Azure
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Localize o conector do AWS.
Selecione o menu ... (mais opções).
Selecione Excluir.
Confirmar exclusão.
Verificar a remoção
Verificar os recursos do Azure
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Verificar Clusters EKS
kubectl get pods -n kube-system -l app=microsoft-defender
Nenhum pod deve ser retornado após a remoção bem-sucedida.
Conteúdo relacionado
- Implantar o Defender para Contêineres – Para habilitar novamente a proteção
- Exiba a matriz de suporte de contêineres no Defender para Nuvem.
- Visão geral do Defender para Contêineres – Saiba mais sobre os recursos