Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como remover o Defender for Containers dos seus clusters EKS e do ambiente AWS. Siga estes passos quando precisar de desinstalar completamente o serviço ou resolver problemas de implementação.
Quando ativas capacidades do Defender para Containers que usam provisionamento automático, ou usas recomendações para implementar manualmente capacidades de contentores em recursos específicos, instalas componentes e extensões do Defender no teu ambiente. Para o ajudar a acompanhar estes componentes, as secções seguintes fornecem tabelas que mostram a funcionalidade Defender for Clouds e os seus componentes, extensões e funções instalados no Defender for Container.
Se decidir deixar de usar essas capacidades, talvez também queira remover esses componentes do seu ambiente. Este artigo ajuda-o a perceber as ações que pode tomar para os remover.
Os componentes e funções enquadram-se em duas categorias de tipo de remoção:
- Seguro para remover - Recursos e definições usados exclusivamente pelo Defender para Containers. Pode remover estes recursos em segurança se já não estiver a usar a capacidade associada.
- Componente partilhado - Recursos que podem ser usados por soluções não Defender for Cloud ou por outras soluções Defender for Cloud no ambiente cloud de destino. Se desativar um recurso partilhado, as outras soluções podem ser negativamente afetadas. Antes de remover estes recursos, veja se outras soluções nesse ambiente cloud precisam desse recurso.
Cenários AWS
Recursos criados com o script CloudFormation
| Offering | Resource | Desembarque manual | Informação sobre a remoção |
|---|---|---|---|
| Avaliação da Vulnerabilidade de Contentores Sem Agente | MDCContainersImageAssessmentRole | Eliminar funções ou perfis de instância - AWS Identity and Access Management (amazon.com) | Seguro para remover |
| Partilhado entre três ofertas de contentores: Proteção em tempo de execução contra ameaças do contenedor Provisão automática do sensor do Defender para Azure Arc Aprovisionamento automático da extensão de Política do Azure para o Azure Arc |
MDCContainersK8sRole | Eliminar funções ou perfis de instância - AWS Identity and Access Management (amazon.com) | Seguro para remover |
| Proteção contra ameaças em runtime de containers | MDCContainersK8sDataCollectionRole | Eliminar funções ou perfis de instância - AWS Identity and Access Management (amazon.com) | Pode ser removido com segurança |
| Proteção contra ameaças do runtime do container | MDCContainersK8sCloudWatchToKinesisRole | Eliminar funções ou perfis de instância - AWS Identity and Access Management (amazon.com) | Seguro para remover |
| Proteção contra ameaças do container em tempo de execução | MDCContainersK8sKinesisToS3RoleName | Eliminar funções ou perfis de instância - AWS Identity and Access Management (amazon.com) | Pronto para remover com segurança |
| Descoberta sem agentes para Kubernetes | MDCContainersAgentlessDiscoveryK8sRole | Eliminar funções ou perfis de instância - AWS Identity and Access Management (amazon.com) | Seguro para remover |
| Fornecedor de identidade necessário para todos os componentes do Defender for Cloud | ASCDefendersOIDCIdentityProvider | Apagar apenas se remover todos os componentes do Defender for Cloud. Recupere uma lista dos clientes do fornecedor, usando a API AWS IAM. Usa a consola AWS IAM ou CLI para eliminar o fornecedor. | Componente partilhado |
Recursos criados automaticamente após a criação do conector - AWS
| Offering | Resource | Desembarque manual | Informação sobre a remoção |
|---|---|---|---|
| Proteção contra ameaças do container em tempo de execução | S3 |
Eliminar um bucket - Amazon Simple Storage Service Este recurso é criado para cada cluster. Convenção de nomenclatura: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Seguro para remover |
| Proteção contra ameaças do container em tempo de execução | SQS |
Eliminar uma fila Amazon SQS - Serviço Amazon Simple Queue Este recurso é criado para cada cluster. Convenção de nomenclatura: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Seguro para remover |
| Proteção contra ameaças do container em tempo de execução | Kinesis Data Firehose (Amazon Kinesis Data Streams) | Para cada cluster, elimine o fluxo Amazon Kinesis Delivery Este recurso é criado para cada cluster. Convenção de nomenclatura: arn:aws:firehose:< AWS Region>:< AWS Account Id>:deliverystream/azuredefender-< Cluster Name> |
Seguro para remover |
| Proteção contra ameaças em tempo de execução da carga de trabalho Endurecimento do plano de dados do Kubernetes |
Kubernetes ativado com Azure Arc (Liga os seus clusters EKS ao Azure) | Para cada cluster, remova o Kubernetes ativado pelo Azure Arc via Azure CLI ou Azure PowerShell. A execução deste comando eliminará todos os recursos relacionados com o Arc, incluindo extensões. | Seguro para remover |
| Proteção contra ameaças em tempo de execução da carga de trabalho | Sensor do Defender | Remova o sensor Defender para cada cluster usando o portal Azure, Azure CLI ou API REST | Seguro para remover |
| Endurecimento do plano de dados do Kubernetes | Extensão da Política do Azure | Remova as extensões Defender para cada cluster usando o portal Azure, Azure CLI ou API REST | Seguro para remover |
Remover extensões dos clusters EKS
Remover extensões usando Azure CLI
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Para remover a extensão Azure Policy:
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Desconectar clusters do Azure Arc
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Plano de Desativar Defender
Usando o portal do Azure
Vá para Configurações do Microsoft Defender for Cloud>Environment.
Selecione a sua subscrição.
Na página de planos do Defensor, mude Containers para o estado Desligado.
Selecione Guardar.
Eliminar conector AWS
Usando o portal do Azure
Vá para Configurações do Microsoft Defender for Cloud>Environment.
Encontra o teu conector AWS.
Seleciona o ... (mais opções) menu.
Selecione Eliminar.
Confirmar eliminação.
Verificar remoção
Consulte os recursos do Azure
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Verifique os clusters EKS
kubectl get pods -n kube-system -l app=microsoft-defender
Nenhuma cápsula deve ser devolvida após a remoção bem-sucedida.
Conteúdo relacionado
- Implementar o Defender para Contentores - Para reativar a proteção
- Consulte a matriz de suporte de containers no Defender for Cloud.
- Visão geral do Defender for Containers - Aprenda sobre capacidades