Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)
Runtime Monitoring permite administrar el agente de seguridad para sus clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.
Antes de continuar con los pasos de esta sección, asegúrese de cumplir con [Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)](prereq-runtime-monitoring-ecs-support.md).
En función de[Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), elija el método que prefiera para habilitar el agente GuardDuty automatizado en sus recursos.
**Topics**
## Configuración del GuardDuty agente para un entorno de múltiples cuentas
En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de agentes para las cuentas de los miembros y administrar la configuración automatizada de los agentes para los clústeres de Amazon ECS que pertenecen a las cuentas de los miembros de su organización. La cuenta de un GuardDuty miembro no puede modificar esta configuración. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para obtener más información sobre los entornos de varias cuentas, consulte [Administrar varias cuentas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html) en. GuardDuty
### Habilitar la configuración automática de agentes para la cuenta de administrador delegado GuardDuty
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Si ha elegido **Habilitar para todas las cuentas** en la sección Supervisión en tiempo de ejecución, tendrá las siguientes opciones:
+ Seleccione **Activar para todas las cuentas** en la sección de configuración automatizada de agentes. GuardDuty desplegará y gestionará el agente de seguridad para todas las tareas de Amazon ECS que se inicien.
+ Elija **Configurar cuentas manualmente**.
Si ha elegido **Configurar cuentas manualmente** en la sección Supervisión en tiempo de ejecución, haga lo siguiente:
1. Elija **Configurar cuentas manualmente** en la sección Configuración automatizada del agente.
1. Seleccione **Activar** en la sección de la **cuenta de GuardDuty administrador delegado (esta cuenta)**.
Seleccione **Save**.
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.
1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
1.
**nota**
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña **Configuración**, elija **Habilitar** en la **Configuración automatizada del agente**.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
1. Seleccione **Save**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Al utilizar etiquetas de inclusión para sus clústeres de Amazon ECS, no necesita habilitar el GuardDuty agente mediante la configuración automática de agentes de forma explícita.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
### Habilitar automáticamente para todas las cuentas de miembro
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Los siguientes pasos presuponen que ha elegido **Habilitar** para todas las cuentas en la sección Supervisión en tiempo de ejecución.
1. Seleccione **Activar para todas las cuentas** en la sección de configuración automática de agentes. GuardDuty desplegará y gestionará el agente de seguridad para todas las tareas de Amazon ECS que se inicien.
1. Seleccione **Save**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.
1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
1.
**nota**
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña **Configuración**, elija **Editar**.
1. Elija **Habilitar para todas las cuentas** en la sección **Configuración automatizada del agente**.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
1. Seleccione **Save**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Independientemente de cómo decida habilitar la Supervisión en tiempo de ejecución, los pasos que se indican a continuación sirven para supervisar tareas específicas de Amazon ECS Fargate para todas las cuentas de miembro de la organización.
1. No habilite ninguna configuración en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que seleccionó en el paso anterior.
1. Seleccione **Save**.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Al usar etiquetas de inclusión para sus clústeres de Amazon ECS, no necesita habilitar la **administración automática de GuardDuty agentes** de forma explícita.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
### Habilitar la configuración automática del agente para las cuentas de miembro activas existentes
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. En la página Supervisión del tiempo de ejecución, en la pestaña **Configuración**, puede ver el estado actual de la configuración automatizada del agente.
1. En el panel de configuración automática de agentes, en la sección **Cuentas de miembros activos**, seleccione **Acciones**.
1. En **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas existentes**.
1. Elija **Confirmar**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.
1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
1.
**nota**
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña **Configuración**, en la sección Configuración automatizada del agente, en **Cuentas de miembro activas**, elija **Acciones**.
1. En **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas**.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
1. Elija **Confirmar**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la **Configuración automatizada del agente** de forma explícita.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
### Habilitar automáticamente la configuración automática de agentes para los nuevos miembros
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. En la página Supervisión en tiempo de ejecución, elija **Editar** para actualizar la configuración existente.
1. En la sección Configuración automatizada del agente, seleccione **Habilitar automáticamente para nuevas cuentas de miembro**.
1. Seleccione **Save**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.
1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
1.
**nota**
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña **Configuración**, seleccione **Habilitar automáticamente para nuevas cuentas de miembro** en la sección **Configuración automatizada del agente**.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
1. Seleccione **Save**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la **Configuración automatizada del agente** de forma explícita.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
### Habilitar la Configuración automatizada del agente para cuentas de miembro activas de forma selectiva
------
#### [ Manage for all Amazon ECS (account level) ]
1. En la página Cuentas, seleccione las cuentas para las que desea habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate). Puede seleccionar varias cuentas. Asegúrese de que las cuentas que seleccione en este paso ya estén habilitadas con la Supervisión en tiempo de ejecución.
1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate)**.
1. Elija **Confirmar**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como `GuardDutyManaged`-`false`.
1. Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
1.
**nota**
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de habilitar la administración automática de GuardDuty agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la página Cuentas, seleccione las cuentas para las que desea habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate). Puede seleccionar varias cuentas. Asegúrese de que las cuentas que seleccione en este paso ya estén habilitadas con la Supervisión en tiempo de ejecución.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate)**.
1. Seleccione **Save**.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Asegúrese de no habilitar la **Configuración automatizada del agente** (o **Configuración automatizada del agente de Supervisión en tiempo de ejecución [ECS-Fargate]**) para las cuentas seleccionadas que tienen los clústeres de Amazon ECS que desea supervisar.
1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la **Configuración automatizada del agente** de forma explícita.
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.
------
## Configurar el GuardDuty agente para una cuenta independiente
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.
1. En la pestaña **Configuración**:
1.
**Para administrar la Configuración automatizada del agente para todos los clústeres de Amazon ECS (nivel de cuenta)**
Elija **Habilitar** en la sección **Configuración automatizada del agente** para **AWS Fargate (sólo ECS)**. Cuando se lance una nueva tarea de Fargate Amazon ECS, GuardDuty gestionará el despliegue del agente de seguridad.
1. Seleccione **Save**.
1.
**Para administrar la Configuración automatizada del agente mediante la exclusión de algunos de los clústeres de Amazon ECS (nivel de clúster)**
1. Agregue una etiqueta al clúster de Amazon ECS para el que desea excluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`false`.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. En la pestaña **Configuración**, elija **Habilitar** en la sección **Configuración automatizada del agente**.
**nota**
Añada siempre la etiqueta de exclusión a su clúster de Amazon ECS antes de habilitar la administración automática del GuardDuty agente en su cuenta; de lo contrario, el agente de seguridad se desplegará en todas las tareas que se lancen dentro del clúster de Amazon ECS correspondiente.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
1. Seleccione **Save**.
1.
**Para administrar la Configuración automatizada del agente mediante la inclusión de algunos de los clústeres de Amazon ECS (nivel de clúster).**
1. Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser `GuardDutyManaged`-`true`.
1. Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en [Evitar la modificación de etiquetas excepto por entidades principales autorizadas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) en la *Guía del usuario de AWS Organizations * ha sido modificada para ser aplicable en esta situación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante `forceNewDeployment`.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
+ [Actualizar un servicio de Amazon ECS mediante la consola](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)en la *referencia de la API de Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) en la *Referencia del comando de la AWS CLI *.