Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activation de l'agent de sécurité automatique pour l'instance Amazon EC2
<a name="managing-gdu-agent-ec2-automated"></a>

Cette section décrit les étapes à suivre pour activer l'agent GuardDuty automatique pour vos ressources Amazon EC2 dans votre compte autonome ou dans un environnement à comptes multiples. 

Avant de continuer, assurez-vous de suivre toutes les[Conditions préalables à la prise en charge des instances Amazon EC2](prereq-runtime-monitoring-ec2-support.md).

Si vous passez de la gestion manuelle de l' GuardDuty agent à l'activation de l'agent GuardDuty automatisé, avant de suivre les étapes d'activation de l'agent GuardDuty automatisé, consultez[Migration d'un agent manuel Amazon EC2 vers un agent automatisé](migrate-from-ec2-manual-to-automated-agent.md).

# GuardDuty Agent d'activation pour les ressources Amazon EC2 dans un environnement multi-comptes
<a name="manage-agent-ec2-multi-account-env"></a>

Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les types de ressources appartenant aux comptes des membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Pour le compte GuardDuty d'administrateur délégué
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Si vous avez choisi **Activer pour tous les comptes** pour la surveillance du temps d'exécution, choisissez l'une des options suivantes pour le compte d' GuardDuty administrateur délégué :
+ **Option 1**

  Sous **Configuration automatique de l'agent**, dans la section **EC2**, sélectionnez **Activer pour tous les comptes**.
+ **Option 2**
  + Sous **Configuration automatique de l'agent**, dans la section **EC2**, sélectionnez **Configurer les comptes manuellement**.
  + Sous **Administrateur délégué (ce compte)**, choisissez **Activer**.
+ Choisissez **Enregistrer**.

Si vous avez choisi **Configurer les comptes manuellement** pour la surveillance du temps d'exécution, effectuez les étapes suivantes :
+ Sous **Configuration automatique de l'agent**, dans la section **EC2**, sélectionnez **Configurer les comptes manuellement**.
+ Sous **Administrateur délégué (ce compte)**, choisissez **Activer**.
+ Choisissez **Enregistrer**.

Quelle que soit l'option que vous choisissez pour activer la configuration automatique de l'agent pour le compte d' GuardDuty administrateur délégué, vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à ce compte.

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Ouvrez l'onglet **Targets** pour l'association SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Notez que la **touche Tag** apparaît sous la forme **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances EC2 sélectionnées. Il **n'est pas** nécessaire d'activer explicitement la configuration automatique des agents.

1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion. 

   Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Ouvrez l'onglet **Targets** pour l'association SSM créée (`GuardDutyRuntimeMonitoring-do-not-delete`). La **touche Tag** apparaît sous la forme de **tag : GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**Note**  
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

**Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**

   1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.

      S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.

   1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.

   1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.

1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.

------

Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).

## Activation automatique pour tous les comptes membres
<a name="auto-enable-all-member-accounts"></a>

**Note**  
La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.

------
#### [ Configure for all instances ]

Les étapes suivantes supposent que vous avez choisi **Activer pour tous les comptes** dans la section Runtime Monitoring :

1. Choisissez **Activer pour tous les comptes** dans la section **Configuration automatique de l'agent** pour **Amazon EC2**. 

1. Vous pouvez vérifier que l'association SSM qui GuardDuty crée (`GuardDutyRuntimeMonitoring-do-not-delete`) installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à ce compte.

   1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Ouvrez l'onglet **Targets** pour l'association SSM. Notez que la **touche Tag** apparaît sous la forme **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances EC2 que vous GuardDuty souhaitez surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances EC2 sélectionnées. Il **n'est pas** nécessaire d'activer explicitement la configuration automatique des agents.

1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à votre compte.

   1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Ouvrez l'onglet **Targets** pour l'association SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Notez que la **touche Tag** apparaît sous la forme **InstanceIds**. 

------
#### [ Using exclusion tag in selected instances ]

**Note**  
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

**Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**

   1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.

      S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.

   1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.

   1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.

1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.

------

Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).

## Activation automatique pour les nouveaux comptes de membres uniquement
<a name="auto-enable-new-member-accounts"></a>

Le compte d' GuardDuty administrateur délégué peut définir la configuration automatique de l'agent pour la ressource Amazon EC2 afin de l'activer automatiquement pour les nouveaux comptes membres lorsqu'ils rejoignent l'organisation. 

------
#### [ Configure for all instances ]

Les étapes suivantes supposent que vous avez sélectionné **Activer automatiquement pour les nouveaux comptes membres** dans la section **Surveillance du temps d'exécution** :

1. Dans le volet de navigation, choisissez **Runtime Monitoring**.

1. Sur la page **Runtime Monitoring**, choisissez **Modifier**.

1. Sélectionnez **Activer automatiquement pour les nouveaux comptes membres**. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, la configuration automatique des agents pour Amazon EC2 sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette sélection.

1. Choisissez **Enregistrer**.

Lorsqu'un nouveau compte membre rejoint l'organisation, cette configuration est automatiquement activée pour lui. GuardDuty Pour gérer l'agent de sécurité pour les instances Amazon EC2 qui appartiennent à ce nouveau compte membre, assurez-vous que toutes les conditions préalables sont remplies[Pour instance EC2](prereq-runtime-monitoring-ec2-support.md).

Lorsqu'une association SSM est créée (`GuardDutyRuntimeMonitoring-do-not-delete`), vous pouvez vérifier qu'elle installera et gérera l'agent de sécurité sur toutes les instances EC2 appartenant au nouveau compte membre.
+ Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
+ Ouvrez l'onglet **Targets** pour l'association SSM. Notez que la **touche Tag** apparaît sous la forme **InstanceIds**.

------
#### [ Using inclusion tag in selected instances ]

**Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées de votre compte**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.

1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion. 

   1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Ouvrez l'onglet **Targets** pour l'association SSM créée. La **touche Tag** apparaît sous la forme de **tag : GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**Note**  
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

**Pour configurer l'agent GuardDuty de sécurité pour des instances spécifiques de votre compte autonome**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**

   1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.

      S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.

   1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.

   1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.

1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.

------

Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).

## Comptes de membres sélectifs uniquement
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. Sur la page **Comptes**, sélectionnez un ou plusieurs comptes pour lesquels vous souhaitez activer la **configuration automatique de l'agent Runtime Monitoring-Automated (Amazon EC2)**. Assurez-vous que la surveillance du temps d'exécution est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.

1. Dans **Modifier les plans de protection**, choisissez l'option appropriée pour activer la **configuration automatisée de l'agent Runtime Monitoring-Automated (Amazon EC2)**.

1. Choisissez **Confirmer**.

------
#### [ Using inclusion tag in selected instances ]

**Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   L'ajout de cette balise permettra GuardDuty de gérer l'agent de sécurité pour vos instances Amazon EC2 balisées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents (**Runtime Monitoring - Automated agent Configuration (EC2)).**

------
#### [ Using exclusion tag in selected instances ]

**Note**  
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

**Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances EC2 que vous **ne souhaitez pas** GuardDuty surveiller ou détecter de menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**

   1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.

      S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.

   1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.

   1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.

1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.

------

Vous pouvez maintenant évaluer[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).

# Activation d'un agent GuardDuty automatisé pour les ressources Amazon EC2 dans un compte autonome
<a name="manage-agent-ec2-standalone-account"></a>

Un compte autonome prend la décision d'activer ou de désactiver un plan de protection Compte AWS dans un espace spécifique Région AWS. 

Si votre compte est associé à un compte GuardDuty administrateur par le biais AWS Organizations d'une invitation ou par le biais d'une invitation, cette section ne s'applique pas à votre compte. Pour de plus amples informations, veuillez consulter [Activation de la surveillance du temps d'exécution pour les environnements à comptes multiples](enable-runtime-monitoring-multiple-acc-env.md).

Après avoir activé la surveillance du temps d'exécution, veillez à installer l'agent GuardDuty de sécurité par le biais d'une configuration automatique ou d'un déploiement manuel. Dans le cadre de toutes les étapes répertoriées dans la procédure suivante, veillez à installer l'agent de sécurité.

Selon votre préférence en matière de surveillance de toutes les ressources Amazon EC2 ou de certaines d'entre elles, choisissez une méthode préférée et suivez les étapes décrites dans le tableau suivant.

------
#### [ Configure for all instances ]

**Pour configurer la surveillance du temps d'exécution pour toutes les instances de votre compte autonome**

1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. Dans le volet de navigation, choisissez **Runtime Monitoring**.

1. Dans l'onglet **Configuration**, choisissez **Modifier**.

1. Dans la section **EC2**, choisissez **Enable.**

1. Choisissez **Enregistrer**.

1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à votre compte.

   1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Ouvrez l'onglet **Targets** pour l'association SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Notez que la **touche Tag** apparaît sous la forme **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion. 

   Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Ouvrez l'onglet **Targets** pour l'association SSM créée (`GuardDutyRuntimeMonitoring-do-not-delete`). La **touche Tag** apparaît sous la forme de **tag : GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**Note**  
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.

**Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**

   1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.

      S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.

   1. Sélectionnez l'instance pour laquelle vous souhaitez autoriser les balises.

   1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.

   1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.

   1. Sous **Accès aux balises dans les métadonnées de l'instance**, sélectionnez **Autoriser**.

   1. Choisissez **Enregistrer**.

1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.

------

Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).

# Migration d'un agent manuel Amazon EC2 vers un agent automatisé
<a name="migrate-from-ec2-manual-to-automated-agent"></a>

Cette section s'applique à vous Compte AWS si vous gériez auparavant l'agent de sécurité manuellement et que vous souhaitez maintenant utiliser la configuration GuardDuty automatique de l'agent. Si cela ne vous concerne pas, poursuivez la configuration de l'agent de sécurité pour votre compte.

Lorsque vous activez l'agent GuardDuty automatique, GuardDuty gère l'agent de sécurité en votre nom. Pour plus d'informations sur les étapes GuardDuty à suivre, consultez[Utiliser la configuration automatique des agents (recommandé)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).

## nettoyer des ressources ;
<a name="ec2-clean-up-migrate-from-manual-to-automated"></a>

**Supprimer l'association SSM**  
+ Supprimez toute association SSM que vous avez peut-être créée lorsque vous gériez manuellement l'agent de sécurité pour Amazon EC2. Pour plus d'informations, consultez la section [Suppression d'associations](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Cela GuardDuty permet de prendre en charge la gestion des actions SSM, que vous utilisiez des agents automatisés au niveau du compte ou de l'instance (en utilisant des balises d'inclusion ou d'exclusion). Pour plus d'informations sur les actions que le SSM peut GuardDuty effectuer, consultez[Autorisations de rôle liées à un service pour GuardDuty](slr-permissions.md).
+ Lorsque vous supprimez une association SSM précédemment créée pour gérer manuellement l'agent de sécurité, il peut y avoir une brève période de chevauchement lors de la GuardDuty création d'une association SSM pour gérer automatiquement l'agent de sécurité. Au cours de cette période, vous pourriez rencontrer des conflits liés à la planification SSM. Pour plus d'informations, consultez la section [Planification Amazon EC2 SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).

**Gérez les balises d'inclusion et d'exclusion pour vos instances Amazon EC2**  
+ **Balises d'inclusion** — Lorsque vous n'activez pas la configuration GuardDuty automatique des agents mais que vous balisez l'une de vos instances Amazon EC2 avec une balise d'inclusion (`GuardDutyManaged`:`true`), vous GuardDuty créez une association SSM qui installera et gérera l'agent de sécurité sur les instances EC2 sélectionnées. Il s'agit d'un comportement attendu qui vous permet de gérer l'agent de sécurité uniquement sur certaines instances EC2. Pour de plus amples informations, veuillez consulter [Comment fonctionne la surveillance du temps d'exécution avec les instances Amazon EC2](how-runtime-monitoring-works-ec2.md).

  Pour GuardDuty empêcher l'installation et la gestion de l'agent de sécurité, supprimez la balise d'inclusion de ces instances EC2. Pour plus d'informations, consultez la section [Ajouter et supprimer des balises](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) dans le guide de l'*utilisateur Amazon EC2*.
+ **Balises d'exclusion** : lorsque vous souhaitez activer la configuration GuardDuty automatique des agents pour toutes les instances EC2 de votre compte, assurez-vous qu'aucune instance EC2 n'est étiquetée avec une balise d'exclusion (`GuardDutyManaged`:`false`).