Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilitar el agente de seguridad automatizado para la instancia de Amazon EC2
<a name="managing-gdu-agent-ec2-automated"></a>

En esta sección se incluyen los pasos para habilitar un agente GuardDuty automatizado para sus recursos de Amazon EC2 en su cuenta independiente o en un entorno de cuentas múltiples. 

Antes de continuar, asegúrese de cumplir todos los [Requisitos previos para la compatibilidad con instancias de Amazon EC2](prereq-runtime-monitoring-ec2-support.md).

Si va a pasar de administrar el GuardDuty agente manualmente a habilitar el agente GuardDuty automatizado, antes de seguir los pasos para habilitar GuardDuty el agente automatizado, consulte. [Pasar del agente manual de Amazon EC2 al agente automatizado](migrate-from-ec2-manual-to-automated-agent.md)

# GuardDuty Agente habilitador para los recursos de Amazon EC2 en un entorno de cuentas múltiples
<a name="manage-agent-ec2-multi-account-env"></a>

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de los agentes para los tipos de recursos que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Para la cuenta de administrador delegado GuardDuty
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Si seleccionó **Activar Runtime Monitoring para todas las cuentas**, elija una de las siguientes opciones para la cuenta de GuardDuty administrador delegado:
+ **Opción 1**

  En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Habilitar para todas las cuentas**.
+ **Opción 2**
  + En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Configurar cuentas manualmente**.
  + En **Administrador delegado (esta cuenta)**, elija **Habilitar**.
+ Seleccione **Save**.

Si elige **Configurar cuentas manualmente** en la sección Supervisión en tiempo de ejecución, haga lo siguiente:
+ En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Configurar cuentas manualmente**.
+ En **Administrador delegado (esta cuenta)**, elija **Habilitar**.
+ Seleccione **Save**.

Independientemente de la opción que elija para habilitar la configuración automática del agente para la cuenta de GuardDuty administrador delegado, puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

1. Abra la consola en AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. **No** es necesario habilitar la configuración automática del agente de forma explícita.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`) que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automáticamente para todas las cuentas de miembro
<a name="auto-enable-all-member-accounts"></a>

**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

------
#### [ Configure for all instances ]

En los siguientes pasos, se supone que seleccionó **Habilitar para todas las cuentas** en la sección Supervisión en tiempo de ejecución:

1. Elija **Habilitar para todas las cuentas** en la sección **Configuración automatizada del agente** para **Amazon EC2**. 

1. Puede comprobar que la asociación SSM que GuardDuty crea (`GuardDutyRuntimeMonitoring-do-not-delete`) instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM. Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias de EC2 que desee GuardDuty supervisar y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. **No** es necesario habilitar la configuración automática del agente de forma explícita.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a su cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automáticamente solo para nuevas cuentas de miembro
<a name="auto-enable-new-member-accounts"></a>

La cuenta de GuardDuty administrador delegado puede establecer la configuración del agente automatizado para el recurso Amazon EC2 para que se habilite automáticamente para las cuentas de los nuevos miembros a medida que se unan a la organización. 

------
#### [ Configure for all instances ]

En los siguientes pasos se presupone que ha seleccionado **Habilitar automáticamente para nuevas cuentas de miembro** en la sección **Supervisión en tiempo de ejecución**:

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la página **Supervisión en tiempo de ejecución**, elija **Editar**.

1. Elija **Habilitar automáticamente las cuentas de miembros nuevas**. Este paso garantiza que siempre que una nueva cuenta se una a la organización, la configuración automatizada del agente para Amazon EC2 se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta selección.

1. Seleccione **Save**.

Cuando una nueva cuenta de miembro se une a la organización, esta configuración se habilitará para esta automáticamente. GuardDuty Para gestionar el agente de seguridad de las instancias de Amazon EC2 que pertenecen a esta nueva cuenta de miembro, asegúrese de que se cumplen todos los requisitos previos[Para la instancia de EC2](prereq-runtime-monitoring-ec2-support.md).

Cuando se crea una asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`), puede comprobar que la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 pertenecientes a la nueva cuenta de miembro.
+ Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Abra la pestaña **Destinos** correspondiente a la asociación de SSM. Observe que la **tecla de etiqueta** aparece como **InstanceIds**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente de GuardDuty seguridad para instancias seleccionadas de su cuenta**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias seleccionadas. No es necesario habilitar explícitamente la configuración automática del agente.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias específicas de su cuenta independiente**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Solo determinadas cuentas de miembro seleccionadas
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. En la página **Cuentas**, seleccione una o varias cuentas para las que desee habilitar la **Configuración automatizada del agente de Supervisión en tiempo de ejecución (Amazon EC2)**. Asegúrese de que las cuentas que seleccione en este paso ya tienen habilitada la Supervisión en tiempo de ejecución.

1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **Configuración automatizada del agente de Supervisión en tiempo de ejecución (Amazon EC2)**.

1. Elija **Confirmar**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Añadir esta etiqueta permitirá GuardDuty gestionar el agente de seguridad de las instancias etiquetadas de Amazon EC2. No necesita habilitar explícitamente la configuración automatizada del agente (**Supervisión en tiempo de ejecución: configuración automatizada del agente (EC2)**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias de EC2 que **no** desee GuardDuty supervisar o detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

# Habilitación de un agente GuardDuty automatizado para los recursos de Amazon EC2 en una cuenta independiente
<a name="manage-agent-ec2-standalone-account"></a>

Una cuenta independiente es la propietaria de la decisión de habilitar o deshabilitar un plan de protección Cuenta de AWS en un plan específico. Región de AWS

Si su cuenta está asociada a una cuenta de GuardDuty administrador mediante AWS Organizations una invitación o mediante el método de invitación, esta sección no se aplica a su cuenta. Para obtener más información, consulte [Habilitar la Supervisión en tiempo de ejecución para entornos de múltiples cuentas](enable-runtime-monitoring-multiple-acc-env.md).

Después de activar Runtime Monitoring, asegúrese de instalar el agente GuardDuty de seguridad mediante una configuración automática o un despliegue manual. Como parte de completar todos los pasos que se indican en el siguiente procedimiento, asegúrese de instalar el agente de seguridad.

Según su preferencia de supervisar todos o algunos recursos de Amazon EC2, elija el método que prefiera y siga los pasos que se indican en la tabla siguiente.

------
#### [ Configure for all instances ]

**Para configurar la Supervisión en tiempo de ejecución para todas las instancias en la cuenta independiente**

1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la pestaña **Configuración**, elija **Editar**.

1. En la sección **EC2**, elija **Habilitar**.

1. Seleccione **Save**.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y gestionará el agente de seguridad en todos los recursos de EC2 que pertenezcan a su cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`) que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. Seleccione la instancia para la que desea permitir etiquetas.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

   1. En **Acceso a etiquetas en metadatos de instancia**, seleccione **Permitir**.

   1. Seleccione **Save**.

1. Después de agregar la etiqueta de exclusión, siga los mismos pasos que se indican en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

# Pasar del agente manual de Amazon EC2 al agente automatizado
<a name="migrate-from-ec2-manual-to-automated-agent"></a>

Esta sección se aplica a su Cuenta de AWS caso si anteriormente administraba el agente de seguridad de forma manual y ahora desea utilizar la configuración GuardDuty automática del agente. Si esto no se aplica a su caso, continúe con la configuración del agente de seguridad para la cuenta.

Cuando habilita el agente GuardDuty automatizado, GuardDuty administra el agente de seguridad en su nombre. Para obtener información sobre las medidas que se GuardDuty deben tomar, consulte[Utilice la configuración automatizada de agentes (opción recomendada)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).

## Eliminar recursos
<a name="ec2-clean-up-migrate-from-manual-to-automated"></a>

**Eliminar asociación de SSM**  
+ Elimine cualquier asociación de SSM que pueda haber creado al administrar manualmente el agente de seguridad para Amazon EC2. Para obtener más información, consulte [Eliminar una asociación](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Esto se hace para poder hacerse cargo de la gestión de las acciones de SSM, ya sea que utilice agentes automatizados a nivel de cuenta o de instancia (mediante etiquetas de inclusión o exclusión). GuardDuty Para obtener más información sobre las acciones que puede GuardDuty realizar el SSM, consulte. [Permisos de rol vinculados al servicio para GuardDuty](slr-permissions.md)
+ Al eliminar una asociación de SSM que se creó anteriormente para administrar el agente de seguridad de forma manual, es posible que se produzca un breve período de superposición cuando se GuardDuty cree una asociación de SSM para administrar el agente de seguridad automáticamente. Es posible que durante este periodo se produzcan conflictos relacionados con la programación de SSM. Para obtener más información, consulte [Programación de SSM en Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).

**Administre las etiquetas de inclusión y exclusión para las instancias de Amazon EC2**  
+ **Etiquetas de inclusión**: cuando no habilita la configuración GuardDuty automática del agente, pero etiqueta alguna de sus instancias de Amazon EC2 con una etiqueta de inclusión (`GuardDutyManaged`:`true`), se GuardDuty crea una asociación SSM que instalará y administrará el agente de seguridad en las instancias de EC2 seleccionadas. Este es un comportamiento esperado que ayuda a administrar el agente de seguridad únicamente en instancias de EC2 seleccionadas. Para obtener más información, consulte [Cómo funciona la supervisión en tiempo de ejecución con las instancias de Amazon EC2](how-runtime-monitoring-works-ec2.md).

  Para GuardDuty evitar la instalación y la administración del agente de seguridad, elimine la etiqueta de inclusión de estas instancias de EC2. Para obtener más información, consulte [Agregar y eliminar etiquetas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) en la *Guía del usuario de Amazon EC2*.
+ **Etiquetas de exclusión**: si desea habilitar la configuración GuardDuty automática de los agentes para todas las instancias de EC2 de su cuenta, asegúrese de que ninguna instancia de EC2 esté etiquetada con una etiqueta de exclusión (:)`GuardDutyManaged`. `false`