Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des agents GuardDuty de sécurité
Vous pouvez gérer l'agent GuardDuty de sécurité pour la ressource que vous souhaitez surveiller. Si vous souhaitez surveiller plusieurs types de ressources, assurez-vous de gérer l' GuardDuty agent correspondant à cette ressource.
Les rubriques suivantes vous aideront à suivre les prochaines étapes de gestion de l'agent de sécurité.
**Topics**
+ [Activation de l'agent de sécurité automatique pour l'instance Amazon EC2](managing-gdu-agent-ec2-automated.md)
+ [Gestion manuelle de l'agent de sécurité pour la ressource Amazon EC2](managing-gdu-agent-ec2-manually.md)
+ [Gestion de l'agent de sécurité automatisé pour Fargate (Amazon ECS uniquement)](managing-gdu-agent-ecs-automated.md)
+ [Gestion automatique de l'agent de sécurité pour les ressources Amazon EKS](managing-gdu-agent-eks-automatically.md)
+ [Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS](managing-gdu-agent-eks-manually.md)
+ [Configuration des paramètres GuardDuty de l'agent de sécurité (module complémentaire) pour Amazon EKS](guardduty-configure-security-agent-eks-addon.md)
+ [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md)
# Activation de l'agent de sécurité automatique pour l'instance Amazon EC2
Cette section décrit les étapes à suivre pour activer l'agent GuardDuty automatique pour vos ressources Amazon EC2 dans votre compte autonome ou dans un environnement à comptes multiples.
Avant de continuer, assurez-vous de suivre toutes les[Conditions préalables à la prise en charge des instances Amazon EC2](prereq-runtime-monitoring-ec2-support.md).
Si vous passez de la gestion manuelle de l' GuardDuty agent à l'activation de l'agent GuardDuty automatisé, avant de suivre les étapes d'activation de l'agent GuardDuty automatisé, consultez[Migration d'un agent manuel Amazon EC2 vers un agent automatisé](migrate-from-ec2-manual-to-automated-agent.md).
# GuardDuty Agent d'activation pour les ressources Amazon EC2 dans un environnement multi-comptes
Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les types de ressources appartenant aux comptes des membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
## Pour le compte GuardDuty d'administrateur délégué
------
#### [ Configure for all instances ]
Si vous avez choisi **Activer pour tous les comptes** pour la surveillance du temps d'exécution, choisissez l'une des options suivantes pour le compte d' GuardDuty administrateur délégué :
+ **Option 1**
Sous **Configuration automatique de l'agent**, dans la section **EC2**, sélectionnez **Activer pour tous les comptes**.
+ **Option 2**
+ Sous **Configuration automatique de l'agent**, dans la section **EC2**, sélectionnez **Configurer les comptes manuellement**.
+ Sous **Administrateur délégué (ce compte)**, choisissez **Activer**.
+ Choisissez **Enregistrer**.
Si vous avez choisi **Configurer les comptes manuellement** pour la surveillance du temps d'exécution, effectuez les étapes suivantes :
+ Sous **Configuration automatique de l'agent**, dans la section **EC2**, sélectionnez **Configurer les comptes manuellement**.
+ Sous **Administrateur délégué (ce compte)**, choisissez **Activer**.
+ Choisissez **Enregistrer**.
Quelle que soit l'option que vous choisissez pour activer la configuration automatique de l'agent pour le compte d' GuardDuty administrateur délégué, vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à ce compte.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Notez que la **touche Tag** apparaît sous la forme **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances EC2 sélectionnées. Il **n'est pas** nécessaire d'activer explicitement la configuration automatique des agents.
1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion.
Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM créée (`GuardDutyRuntimeMonitoring-do-not-delete`). La **touche Tag** apparaît sous la forme de **tag : GuardDutyManaged**.
------
#### [ Using exclusion tag in selected instances ]
**Note**
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.
**Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**
1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.
S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.
1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.
1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.
1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.
------
Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).
## Activation automatique pour tous les comptes membres
**Note**
La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.
------
#### [ Configure for all instances ]
Les étapes suivantes supposent que vous avez choisi **Activer pour tous les comptes** dans la section Runtime Monitoring :
1. Choisissez **Activer pour tous les comptes** dans la section **Configuration automatique de l'agent** pour **Amazon EC2**.
1. Vous pouvez vérifier que l'association SSM qui GuardDuty crée (`GuardDutyRuntimeMonitoring-do-not-delete`) installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à ce compte.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM. Notez que la **touche Tag** apparaît sous la forme **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Pour configurer GuardDuty l'agent pour certaines instances Amazon EC2**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances EC2 que vous GuardDuty souhaitez surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances EC2 sélectionnées. Il **n'est pas** nécessaire d'activer explicitement la configuration automatique des agents.
1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à votre compte.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Notez que la **touche Tag** apparaît sous la forme **InstanceIds**.
------
#### [ Using exclusion tag in selected instances ]
**Note**
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.
**Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**
1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.
S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.
1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.
1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.
1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.
------
Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).
## Activation automatique pour les nouveaux comptes de membres uniquement
Le compte d' GuardDuty administrateur délégué peut définir la configuration automatique de l'agent pour la ressource Amazon EC2 afin de l'activer automatiquement pour les nouveaux comptes membres lorsqu'ils rejoignent l'organisation.
------
#### [ Configure for all instances ]
Les étapes suivantes supposent que vous avez sélectionné **Activer automatiquement pour les nouveaux comptes membres** dans la section **Surveillance du temps d'exécution** :
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1. Sur la page **Runtime Monitoring**, choisissez **Modifier**.
1. Sélectionnez **Activer automatiquement pour les nouveaux comptes membres**. Cette étape garantit que chaque fois qu'un nouveau compte rejoint votre organisation, la configuration automatique des agents pour Amazon EC2 sera automatiquement activée pour son compte. Seul le compte GuardDuty administrateur délégué de l'organisation peut modifier cette sélection.
1. Choisissez **Enregistrer**.
Lorsqu'un nouveau compte membre rejoint l'organisation, cette configuration est automatiquement activée pour lui. GuardDuty Pour gérer l'agent de sécurité pour les instances Amazon EC2 qui appartiennent à ce nouveau compte membre, assurez-vous que toutes les conditions préalables sont remplies[Pour instance EC2](prereq-runtime-monitoring-ec2-support.md).
Lorsqu'une association SSM est créée (`GuardDutyRuntimeMonitoring-do-not-delete`), vous pouvez vérifier qu'elle installera et gérera l'agent de sécurité sur toutes les instances EC2 appartenant au nouveau compte membre.
+ Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
+ Ouvrez l'onglet **Targets** pour l'association SSM. Notez que la **touche Tag** apparaît sous la forme **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées de votre compte**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'ajout de cette balise permettra GuardDuty d'installer et de gérer l'agent de sécurité pour ces instances sélectionnées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents.
1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM créée. La **touche Tag** apparaît sous la forme de **tag : GuardDutyManaged**.
------
#### [ Using exclusion tag in selected instances ]
**Note**
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.
**Pour configurer l'agent GuardDuty de sécurité pour des instances spécifiques de votre compte autonome**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**
1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.
S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.
1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.
1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.
1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.
------
Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).
## Comptes de membres sélectifs uniquement
------
#### [ Configure for all instances ]
1. Sur la page **Comptes**, sélectionnez un ou plusieurs comptes pour lesquels vous souhaitez activer la **configuration automatique de l'agent Runtime Monitoring-Automated (Amazon EC2)**. Assurez-vous que la surveillance du temps d'exécution est déjà activée sur les comptes que vous sélectionnez au cours de cette étape.
1. Dans **Modifier les plans de protection**, choisissez l'option appropriée pour activer la **configuration automatisée de l'agent Runtime Monitoring-Automated (Amazon EC2)**.
1. Choisissez **Confirmer**.
------
#### [ Using inclusion tag in selected instances ]
**Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
L'ajout de cette balise permettra GuardDuty de gérer l'agent de sécurité pour vos instances Amazon EC2 balisées. Il n'est pas nécessaire d'activer explicitement la configuration automatique des agents (**Runtime Monitoring - Automated agent Configuration (EC2)).**
------
#### [ Using exclusion tag in selected instances ]
**Note**
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.
**Pour configurer l'agent GuardDuty de sécurité pour les instances sélectionnées**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances EC2 que vous **ne souhaitez pas** GuardDuty surveiller ou détecter de menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**
1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.
S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.
1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.
1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.
1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.
------
Vous pouvez maintenant évaluer[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).
# Activation d'un agent GuardDuty automatisé pour les ressources Amazon EC2 dans un compte autonome
Un compte autonome prend la décision d'activer ou de désactiver un plan de protection Compte AWS dans un espace spécifique Région AWS.
Si votre compte est associé à un compte GuardDuty administrateur par le biais AWS Organizations d'une invitation ou par le biais d'une invitation, cette section ne s'applique pas à votre compte. Pour de plus amples informations, veuillez consulter [Activation de la surveillance du temps d'exécution pour les environnements à comptes multiples](enable-runtime-monitoring-multiple-acc-env.md).
Après avoir activé la surveillance du temps d'exécution, veillez à installer l'agent GuardDuty de sécurité par le biais d'une configuration automatique ou d'un déploiement manuel. Dans le cadre de toutes les étapes répertoriées dans la procédure suivante, veillez à installer l'agent de sécurité.
Selon votre préférence en matière de surveillance de toutes les ressources Amazon EC2 ou de certaines d'entre elles, choisissez une méthode préférée et suivez les étapes décrites dans le tableau suivant.
------
#### [ Configure for all instances ]
**Pour configurer la surveillance du temps d'exécution pour toutes les instances de votre compte autonome**
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1. Dans l'onglet **Configuration**, choisissez **Modifier**.
1. Dans la section **EC2**, choisissez **Enable.**
1. Choisissez **Enregistrer**.
1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité sur toutes les ressources EC2 appartenant à votre compte.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Notez que la **touche Tag** apparaît sous la forme **InstanceIds**.
------
#### [ Using inclusion tag in selected instances ]
**Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `true` balise `GuardDutyManaged` : aux instances que vous souhaitez GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Vous pouvez vérifier que l'association SSM GuardDuty créée installera et gérera l'agent de sécurité uniquement sur les ressources EC2 étiquetées avec les balises d'inclusion.
Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Ouvrez l'onglet **Targets** pour l'association SSM créée (`GuardDutyRuntimeMonitoring-do-not-delete`). La **touche Tag** apparaît sous la forme de **tag : GuardDutyManaged**.
------
#### [ Using exclusion tag in selected instances ]
**Note**
Assurez-vous d'ajouter la balise d'exclusion à vos instances Amazon EC2 avant de les lancer. Une fois que vous avez activé la configuration automatique des agents pour Amazon EC2, toute instance EC2 lancée sans balise d'exclusion sera couverte par la configuration GuardDuty automatique des agents.
**Pour configurer l'agent GuardDuty de sécurité pour certaines instances Amazon EC2**
1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ajoutez la `false` balise `GuardDutyManaged` : aux instances que vous **ne souhaitez pas** GuardDuty surveiller et détecter les menaces potentielles. Pour plus d'informations sur l'ajout de cette balise, voir [Pour ajouter une balise à une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1.
**Pour que les [balises d'exclusion soient disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) dans les métadonnées de l'instance, effectuez les opérations suivantes :**
1. Dans l'onglet **Détails** de votre instance, consultez l'état de l'option **Autoriser les balises dans les métadonnées de l'instance**.
S'il est actuellement **désactivé**, suivez les étapes ci-dessous pour changer le statut en **Activé**. Sinon, Ignorez cette étape.
1. Sélectionnez l'instance pour laquelle vous souhaitez autoriser les balises.
1. Dans le menu **Actions**, sélectionnez **Paramètres de l'instance**.
1. Choisissez **Autoriser les balises dans les métadonnées de l'instance**.
1. Sous **Accès aux balises dans les métadonnées de l'instance**, sélectionnez **Autoriser**.
1. Choisissez **Enregistrer**.
1. Après avoir ajouté la balise d'exclusion, effectuez les mêmes étapes que celles spécifiées dans l'onglet **Configurer pour toutes les instances**.
------
Vous pouvez désormais évaluer le temps d'exécution[Couverture du temps d'exécution et résolution des problèmes pour l'instance Amazon EC2](gdu-assess-coverage-ec2.md).
# Migration d'un agent manuel Amazon EC2 vers un agent automatisé
Cette section s'applique à vous Compte AWS si vous gériez auparavant l'agent de sécurité manuellement et que vous souhaitez maintenant utiliser la configuration GuardDuty automatique de l'agent. Si cela ne vous concerne pas, poursuivez la configuration de l'agent de sécurité pour votre compte.
Lorsque vous activez l'agent GuardDuty automatique, GuardDuty gère l'agent de sécurité en votre nom. Pour plus d'informations sur les étapes GuardDuty à suivre, consultez[Utiliser la configuration automatique des agents (recommandé)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).
## nettoyer des ressources ;
**Supprimer l'association SSM**
+ Supprimez toute association SSM que vous avez peut-être créée lorsque vous gériez manuellement l'agent de sécurité pour Amazon EC2. Pour plus d'informations, consultez la section [Suppression d'associations](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Cela GuardDuty permet de prendre en charge la gestion des actions SSM, que vous utilisiez des agents automatisés au niveau du compte ou de l'instance (en utilisant des balises d'inclusion ou d'exclusion). Pour plus d'informations sur les actions que le SSM peut GuardDuty effectuer, consultez[Autorisations de rôle liées à un service pour GuardDuty](slr-permissions.md).
+ Lorsque vous supprimez une association SSM précédemment créée pour gérer manuellement l'agent de sécurité, il peut y avoir une brève période de chevauchement lors de la GuardDuty création d'une association SSM pour gérer automatiquement l'agent de sécurité. Au cours de cette période, vous pourriez rencontrer des conflits liés à la planification SSM. Pour plus d'informations, consultez la section [Planification Amazon EC2 SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).
**Gérez les balises d'inclusion et d'exclusion pour vos instances Amazon EC2**
+ **Balises d'inclusion** — Lorsque vous n'activez pas la configuration GuardDuty automatique des agents mais que vous balisez l'une de vos instances Amazon EC2 avec une balise d'inclusion (`GuardDutyManaged`:`true`), vous GuardDuty créez une association SSM qui installera et gérera l'agent de sécurité sur les instances EC2 sélectionnées. Il s'agit d'un comportement attendu qui vous permet de gérer l'agent de sécurité uniquement sur certaines instances EC2. Pour de plus amples informations, veuillez consulter [Comment fonctionne la surveillance du temps d'exécution avec les instances Amazon EC2](how-runtime-monitoring-works-ec2.md).
Pour GuardDuty empêcher l'installation et la gestion de l'agent de sécurité, supprimez la balise d'inclusion de ces instances EC2. Pour plus d'informations, consultez la section [Ajouter et supprimer des balises](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) dans le guide de l'*utilisateur Amazon EC2*.
+ **Balises d'exclusion** : lorsque vous souhaitez activer la configuration GuardDuty automatique des agents pour toutes les instances EC2 de votre compte, assurez-vous qu'aucune instance EC2 n'est étiquetée avec une balise d'exclusion (`GuardDutyManaged`:`false`).
# Gestion manuelle de l'agent de sécurité pour la ressource Amazon EC2
Cette section décrit les étapes à suivre pour installer et mettre à jour manuellement l'agent de sécurité pour vos ressources Amazon EC2.
Après avoir activé la surveillance du temps d'exécution, vous devez installer l'agent GuardDuty de sécurité manuellement. Pour gérer l'agent GuardDuty de sécurité manuellement, vous devez d'abord créer manuellement un point de terminaison Amazon VPC. Ensuite, vous pouvez installer l'agent de sécurité afin qu'il commence à GuardDuty recevoir les événements d'exécution des instances Amazon EC2. Lorsque vous GuardDuty publiez une nouvelle version d'agent pour cette ressource, vous pouvez mettre à jour la version de l'agent dans votre compte.
Les rubriques suivantes décrivent les étapes à suivre pour gérer en permanence l'agent de sécurité pour vos ressources Amazon EC2.
**Topics**
+ [Prérequis — Création manuelle d'un point de terminaison Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md)
+ [Installation manuelle de l'agent de sécurité](installing-gdu-security-agent-ec2-manually.md)
+ [Mise à jour manuelle GuardDuty de l'agent de sécurité pour l'instance Amazon EC2](gdu-update-security-agent-ec2.md)
# Prérequis — Création manuelle d'un point de terminaison Amazon VPC
Avant de pouvoir installer l'agent GuardDuty de sécurité, vous devez créer un point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Cela vous aidera à GuardDuty recevoir les événements d'exécution de vos instances Amazon EC2.
**Note**
L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.
**Pour créer un point de terminaison Amazon VPC**
1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Dans le volet de navigation, sous **Cloud privé VPC**, sélectionnez Endpoints.**
1. Choisissez **Créer un point de terminaison**.
1. Sur la page **Créer un point de terminaison**, pour **Catégorie de services**, choisissez **Autres services de points de terminaison**.
1. Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**.
Assurez-vous de le remplacer *us-east-1* par votre Région AWS. Il doit s'agir de la même région que l'instance Amazon EC2 associée à votre identifiant de AWS compte.
1. Choisissez **Vérifier le service**.
1. Une fois le nom du service vérifié avec succès, choisissez le **VPC où réside** votre instance. Ajoutez la politique suivante pour limiter l'utilisation des points de terminaison Amazon VPC au compte spécifié uniquement. Avec l'organisation `Condition` indiquée sous cette stratégie, vous pouvez mettre à jour la stratégie suivante pour restreindre l'accès à votre point de terminaison. Pour fournir le support des points de terminaison Amazon VPC à un compte spécifique IDs de votre organisation, consultez. [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
L'ID de compte `aws:PrincipalAccount` doit correspondre au compte contenant le VPC et le point de terminaison d'un VPC. La liste suivante indique comment partager le point de terminaison VPC avec un autre AWS compte : IDs
+ Pour spécifier plusieurs comptes pour accéder au point de terminaison VPC, remplacez-le `"aws:PrincipalAccount: "111122223333"` par le bloc suivant :
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
Assurez-vous de remplacer le AWS compte par le compte IDs IDs des comptes qui doivent accéder au point de terminaison du VPC.
+ Pour autoriser tous les membres d'une organisation à accéder au point de terminaison VPC, remplacez-le `"aws:PrincipalAccount: "111122223333"` par la ligne suivante :
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
Assurez-vous de remplacer l'organisation *o-abcdef0123* par votre identifiant d'organisation.
+ Pour restreindre l'accès à une ressource par un identifiant d'organisation, ajoutez votre `ResourceOrgID` nom à la politique. Pour plus d’informations, consultez [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) dans le *Guide de l’utilisateur IAM*.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. Sous **Paramètres supplémentaires**, choisissez **Activer le nom DNS**.
1. Sous **Sous-réseaux**, choisissez les sous-réseaux dans lesquels réside votre instance.
1. Sous **Groupes de sécurité**, choisissez un groupe de sécurité dont le port entrant 443 est activé depuis votre VPC (ou votre instance Amazon EC2). Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, consultez la section [Créer un groupe de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) dans le guide de l'utilisateur *Amazon VPC*.
En cas de problème lors de la restriction des autorisations entrantes sur votre VPC (ou instance), vous pouvez accéder au port 443 entrant depuis n'importe quelle adresse IP. `(0.0.0.0/0)` Il GuardDuty recommande toutefois d'utiliser des adresses IP correspondant au bloc CIDR de votre VPC. Pour plus d'informations, consultez la section [Blocs d'adresse CIDR VPC dans le guide](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) de l'utilisateur Amazon *VPC.*
Après avoir suivi les étapes, consultez [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md) pour vous assurer que le point de terminaison VPC a été correctement configuré.
# Installation manuelle de l'agent de sécurité
GuardDuty fournit les deux méthodes suivantes pour installer l'agent GuardDuty de sécurité sur vos instances Amazon EC2. Avant de continuer, assurez-vous de suivre les étapes ci-dessous[Prérequis — Création manuelle d'un point de terminaison Amazon VPC](creating-vpc-endpoint-ec2-agent-manually.md).
Choisissez une méthode d'accès préférée pour installer l'agent de sécurité dans vos ressources Amazon EC2.
+ [Méthode 1 - Utilisation AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring)— Cette méthode nécessite la gestion de votre instance Amazon EC2. AWS Systems Manager
+ [Méthode 2 - Utilisation des gestionnaires de packages Linux](#install-gdu-by-rpm-scripts-runtime-monitoring)— Vous pouvez utiliser cette méthode, que vos instances Amazon EC2 soient AWS Systems Manager gérées ou non. En fonction des [distributions de votre système d'exploitation](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2), vous pouvez choisir une méthode appropriée pour installer des scripts RPM ou des scripts Debian. Si vous utilisez la plateforme *Fedora*, vous devez utiliser cette méthode pour installer l'agent.
## Méthode 1 - Utilisation AWS Systems Manager
Pour utiliser cette méthode, assurez-vous que vos instances Amazon EC2 sont AWS Systems Manager gérées, puis installez l'agent.
### AWS Systems Manager instance Amazon EC2 gérée
Suivez les étapes ci-dessous pour gérer vos instances AWS Systems Manager Amazon EC2.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)vous aide à gérer vos AWS applications et vos ressources end-to-end et à garantir des opérations sécurisées à grande échelle.
*Pour gérer vos instances Amazon EC2 avec AWS Systems Manager, consultez la section [Configuration de Systems Manager pour les instances Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) dans AWS Systems Manager le guide de l'utilisateur.*
+ Le tableau suivant présente les nouveaux AWS Systems Manager documents GuardDuty gérés :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
Pour plus d'informations AWS Systems Manager, consultez les documents [Amazon EC2 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) dans *AWS Systems Manager le guide de l'utilisateur*.
**Pour les serveurs Debian**
Les Amazon Machine Images (AMIs) pour le serveur Debian fournies par AWS nécessitent que vous installiez l' AWS Systems Manager agent (agent SSM). Vous devrez effectuer une étape supplémentaire pour installer l'agent SSM afin que vos instances du serveur Amazon EC2 Debian soient gérées par SSM. Pour plus d'informations sur les étapes à suivre, consultez la section [Installation manuelle de l'agent SSM sur les instances du serveur Debian](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html) dans le *guide de l'AWS Systems Manager utilisateur*.
**Pour installer l' GuardDuty agent pour l'instance Amazon EC2 en utilisant AWS Systems Manager**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le volet de navigation, sélectionnez **Documents**
1. Dans **Owned by Amazon**, sélectionnez`AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`.
1. Choisissez **Run Command (Exécuter une commande)**.
1. Entrez les paramètres d'exécution de la commande suivants
+ Action : Choisissez **Installer**.
+ Type d'installation : Choisissez **Installer ou Désinstaller.**
+ Nom : `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
+ Version : si ce champ reste vide, vous obtiendrez la dernière version de l'agent de GuardDuty sécurité. Pour plus d'informations sur les versions publiées,[GuardDuty versions de l'agent de sécurité pour les instances Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).
1. Sélectionnez l'instance Amazon EC2 ciblée. Vous pouvez sélectionner une ou plusieurs instances Amazon EC2. Pour plus d'informations, voir [AWS Systems Manager Exécution de commandes depuis la console](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html) dans le *Guide de AWS Systems Manager l'utilisateur*
1. Vérifiez si l'installation de l' GuardDuty agent est saine. Pour de plus amples informations, veuillez consulter [Validation de l'état d'installation GuardDuty de l'agent de sécurité](#validate-ec2-gdu-agent-installation-healthy).
## Méthode 2 - Utilisation des gestionnaires de packages Linux
Avec cette méthode, vous pouvez installer l'agent GuardDuty de sécurité en exécutant des scripts RPM ou des scripts Debian. En fonction des systèmes d'exploitation, vous pouvez choisir une méthode préférée :
+ Utilisez des scripts RPM pour installer l'agent de sécurité sur les distributions du système d'exploitation AL2 AL2023 RedHat, CentOS ou Fedora.
+ Utilisez des scripts Debian pour installer l'agent de sécurité sur les distributions du système d'exploitation Ubuntu ou Debian. Pour plus d'informations sur les distributions de systèmes d'exploitation Ubuntu et Debian prises en charge, consultez[Valider les exigences architecturales](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2).
------
#### [ RPM installation ]
**Important**
Nous vous recommandons de vérifier la signature RPM de l'agent de GuardDuty sécurité avant de l'installer sur votre machine.
1. Vérifiez la signature RPM GuardDuty de l'agent de sécurité
1.
**Préparez le modèle**
Préparez les commandes avec la clé publique appropriée, la signature du fichier x86\$164 tr/min, la signature du fichier arm64 tr/min et le lien d'accès correspondant aux scripts RPM hébergés dans les compartiments Amazon S3. Remplacez la valeur du Région AWS, l'ID de AWS compte et la version de l' GuardDuty agent pour accéder aux scripts RPM.
+ **Clé publique** :
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty signature RPM de l'agent de sécurité** :
Signature de x86\$164 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
```
Signature d'arm64 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Liens d'accès aux scripts RPM du compartiment Amazon S3** :
Lien d'accès pour x86\$164 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
```
Lien d'accès pour arm64 RPM
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**Téléchargez le modèle**
Dans la commande suivante, pour télécharger la clé publique appropriée, la signature du fichier x86\$164 tr/min, la signature du fichier arm64 tr/min et le lien d'accès correspondant aux scripts RPM hébergés dans les compartiments Amazon S3, assurez-vous de remplacer l'ID de compte par l'identifiant approprié Compte AWS et la région par votre région actuelle.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1.
**Importer la clé publique**
Utilisez la commande suivante pour importer la clé publique dans la base de données :
```
gpg --import publickey.pem
```
gpg affiche l'importation avec succès
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1.
**Vérifiez la signature**
Utilisez la commande suivante pour vérifier la signature
```
gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
```
Si la vérification est réussie, vous verrez un message similaire au résultat ci-dessous. Vous pouvez maintenant procéder à l'installation de l'agent de GuardDuty sécurité à l'aide de RPM.
Exemple de sortie :
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
Si la vérification échoue, cela signifie que la signature sur RPM a été potentiellement falsifiée. Vous devez supprimer la clé publique de la base de données et recommencer le processus de vérification.
Exemple :
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Utilisez la commande suivante pour supprimer la clé publique de la base de données :
```
gpg --delete-keys AwsGuardDuty
```
Maintenant, réessayez le processus de vérification.
1. [Connectez-vous via SSH depuis Linux ou macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).
1. Installez l'agent GuardDuty de sécurité à l'aide de la commande suivante :
```
sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
```
1. Vérifiez si l'installation de l' GuardDuty agent est saine. Pour plus d'informations sur les étapes, consultez[Validation de l'état d'installation GuardDuty de l'agent de sécurité](#validate-ec2-gdu-agent-installation-healthy).
------
#### [ Debian installation ]
**Important**
Nous recommandons de vérifier la signature GuardDuty de l'agent de sécurité Debian avant de l'installer sur votre machine.
1. Vérifier la signature GuardDuty de l'agent de sécurité Debian
1.
**Préparez des modèles pour la clé publique appropriée, la signature du paquet Debian amd64, la signature du paquet Debian arm64 et le lien d'accès correspondant aux scripts Debian hébergés dans les compartiments Amazon S3**
Dans les modèles suivants, remplacez la valeur du Région AWS, de l'ID de AWS compte et de la version de l' GuardDutyagent pour accéder aux scripts des paquets Debian.
+ **Clé publique** :
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty Signature de l'agent de sécurité Debian** :
Signature d'amd64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
```
Signature d'arm64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Liens d'accès aux scripts Debian dans le compartiment Amazon S3** :
Lien d'accès pour amd64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
```
Lien d'accès pour arm64
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**Téléchargez la clé publique appropriée, la signature d'amd64, la signature d'arm64 et le lien d'accès correspondant aux scripts Debian hébergés dans des compartiments Amazon S3**
Dans les commandes suivantes, remplacez l'identifiant du compte par l' Compte AWS identifiant approprié, et la région par votre région actuelle.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1. Importer la clé publique dans la base de données
```
gpg --import publickey.pem
```
gpg affiche l'importation avec succès
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1. Vérifiez la signature
```
gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
```
Après une vérification réussie, vous verrez un message similaire au résultat suivant :
Exemple de sortie :
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
Vous pouvez maintenant procéder à l'installation de l'agent GuardDuty de sécurité à l'aide de Debian.
Cependant, si la vérification échoue, cela signifie que la signature du paquet Debian a été potentiellement falsifiée.
Exemple :
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
Utilisez la commande suivante pour supprimer la clé publique de la base de données :
```
gpg --delete-keys AwsGuardDuty
```
Maintenant, réessayez le processus de vérification.
1. [Connectez-vous via SSH depuis Linux ou macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).
1. Installez l'agent GuardDuty de sécurité à l'aide de la commande suivante :
```
sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
```
1. Vérifiez si l'installation de l' GuardDuty agent est saine. Pour plus d'informations sur les étapes, consultez[Validation de l'état d'installation GuardDuty de l'agent de sécurité](#validate-ec2-gdu-agent-installation-healthy).
------
## Erreur de mémoire insuffisante
Si vous rencontrez une `out-of-memory` erreur lors de l'installation ou de la mise à jour manuelle de l'agent de GuardDuty sécurité pour Amazon EC2, consultez. [Résolution d'une erreur de mémoire insuffisante](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error)
## Validation de l'état d'installation GuardDuty de l'agent de sécurité
Après avoir effectué les étapes d'installation de l'agent GuardDuty de sécurité, suivez les étapes suivantes pour valider le statut de l'agent :
**Pour vérifier si l'agent GuardDuty de sécurité est sain**
1. [Connectez-vous via SSH depuis Linux ou macOS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html).
1. Exécutez la commande suivante pour vérifier l'état de l'agent GuardDuty de sécurité :
```
sudo systemctl status amazon-guardduty-agent
```
Si vous souhaitez consulter les journaux d'installation de l'agent de sécurité, ils sont disponibles sous`/var/log/amzn-guardduty-agent/`.
Pour consulter les journaux, faites`sudo journalctl -u amazon-guardduty-agent`.
# Mise à jour manuelle GuardDuty de l'agent de sécurité pour l'instance Amazon EC2
GuardDuty publie des mises à jour des versions de l'agent de sécurité. Lorsque vous gérez l'agent de sécurité manuellement, vous êtes responsable de le mettre à jour pour vos instances Amazon EC2. Pour plus d'informations sur les nouvelles versions des agents, consultez [GuardDuty versions publiées de l'agent de sécurité](runtime-monitoring-agent-release-history.md) la section dédiée aux instances Amazon EC2. Pour recevoir des notifications concernant la sortie d'une nouvelle version de l'agent, consultez[Abonnement aux annonces Amazon GuardDuty SNS](guardduty_sns.md).
**Pour mettre à jour manuellement l'agent de sécurité pour l'instance Amazon EC2**
Le processus de mise à jour de l'agent de sécurité est le même que celui d'installation de l'agent de sécurité. Selon la méthode que vous avez utilisée pour installer l'agent, vous pouvez effectuer les étapes décrites dans [Installation manuelle de l'agent de sécurité](installing-gdu-security-agent-ec2-manually.md) les instances Amazon EC2.
Si vous utilisez la [méthode 1 - En utilisant AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring), vous pouvez mettre à jour l'agent de sécurité à l'aide de la **commande Exécuter**. Utilisez la version de l'agent vers laquelle vous souhaitez effectuer la mise à jour.
Si vous utilisez la [méthode 2 - En utilisant les gestionnaires de packages Linux](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:), vous pouvez utiliser les scripts comme indiqué dans la [Installation manuelle de l'agent de sécurité](installing-gdu-security-agent-ec2-manually.md) section. Les scripts incluent déjà la dernière version de l'agent. Pour plus d'informations sur les versions récemment publiées de l'agent, consultez[GuardDuty versions de l'agent de sécurité pour les instances Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).
Après avoir mis à jour l'agent de sécurité, vous pouvez vérifier l'état de l'installation en consultant les journaux. Pour de plus amples informations, veuillez consulter [Validation de l'état d'installation GuardDuty de l'agent de sécurité](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy).
# Gestion de l'agent de sécurité automatisé pour Fargate (Amazon ECS uniquement)
Runtime Monitoring prend en charge la gestion de l'agent de sécurité pour vos clusters Amazon ECS (AWS Fargate) uniquement via GuardDuty. La gestion manuelle de l'agent de sécurité sur les clusters Amazon ECS n'est pas prise en charge.
Avant de suivre les étapes décrites dans cette section, assurez-vous de les suivre[Conditions requises pour le AWS Fargate support (Amazon ECS uniquement)](prereq-runtime-monitoring-ecs-support.md).
Sur la base de[Approches pour gérer les agents GuardDuty de sécurité dans les ressources Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), choisissez une méthode préférée pour activer l'agent GuardDuty automatisé pour vos ressources.
**Topics**
## GuardDuty Agent de configuration pour un environnement multi-comptes
Dans un environnement à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les comptes membres, et gérer la configuration automatique des agents pour les clusters Amazon ECS qui appartiennent aux comptes membres de leur organisation. Un compte GuardDuty membre ne peut pas modifier cette configuration. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements multicomptes, consultez [la section Gestion de plusieurs comptes dans GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
### Activation de la configuration automatique des agents pour le compte GuardDuty administrateur délégué
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Si vous avez choisi **Activer pour tous les comptes** pour la surveillance du temps d'exécution, les options suivantes s'offrent à vous :
+ Choisissez **Activer pour tous les comptes** dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour toutes les tâches Amazon ECS lancées.
+ Choisissez **Configurer les comptes manuellement**.
Si vous avez choisi **Configurer les comptes manuellement** dans la section Surveillance du temps d'exécution, procédez comme suit :
1. Choisissez **Configurer les comptes manuellement** dans la section Configuration automatique de l'agent.
1. Choisissez **Activer** dans la section **compte GuardDuty administrateur délégué (ce compte)**.
Choisissez **Enregistrer**.
Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Ajoutez une balise à ce cluster Amazon ECS avec la paire clé-valeur sous `GuardDutyManaged` la forme -. `false`
1. Empêchez la modification des balises, sauf par les entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1.
**Note**
Ajoutez toujours la balise d'exclusion à vos clusters Amazon ECS avant d'activer la configuration automatique des agents pour votre compte ; sinon GuardDuty , le conteneur annexe sera attaché à tous les conteneurs des tâches Amazon ECS lancées.
Dans l'onglet **Configuration**, choisissez **Activer** dans la **configuration de l'agent automatisé**.
Pour les clusters Amazon ECS qui n'ont pas été exclus, il GuardDuty gérera le déploiement de l'agent de sécurité dans le conteneur annexe.
1. Choisissez **Enregistrer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Ajoutez une balise à un cluster Amazon ECS pour lequel vous souhaitez inclure toutes les tâches. La paire clé-valeur doit être `GuardDutyManaged` -. `true`
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Note**
Lorsque vous utilisez des balises d'inclusion pour vos clusters Amazon ECS, vous n'avez pas besoin d'activer explicitement l' GuardDuty agent par le biais de la configuration automatique de l'agent.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
### Activation automatique pour tous les comptes membres
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Les étapes suivantes supposent que vous avez choisi **Activer pour tous les comptes** dans la section Runtime Monitoring.
1. Choisissez **Activer pour tous les comptes** dans la section Configuration automatique de l'agent. GuardDuty déploiera et gérera l'agent de sécurité pour toutes les tâches Amazon ECS lancées.
1. Choisissez **Enregistrer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Ajoutez une balise à ce cluster Amazon ECS avec la paire clé-valeur sous `GuardDutyManaged` la forme -. `false`
1. Empêchez la modification des balises, sauf par les entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1.
**Note**
Ajoutez toujours la balise d'exclusion à vos clusters Amazon ECS avant d'activer la configuration automatique des agents pour votre compte ; sinon GuardDuty , le conteneur annexe sera attaché à tous les conteneurs des tâches Amazon ECS lancées.
Dans l'onglet **Configuration**, choisissez **Modifier**.
1. Choisissez **Activer pour tous les comptes** dans la section **Configuration automatique de l'agent**
Pour les clusters Amazon ECS qui n'ont pas été exclus, il GuardDuty gérera le déploiement de l'agent de sécurité dans le conteneur annexe.
1. Choisissez **Enregistrer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Quelle que soit la manière dont vous choisissez d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certaines tâches Amazon ECS Fargate pour tous les comptes membres de votre organisation.
1. N'activez aucune configuration dans la section Configuration automatique de l'agent. Conservez la configuration de surveillance du temps d'exécution identique à celle que vous avez sélectionnée à l'étape précédente.
1. Choisissez **Enregistrer**.
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Note**
Lorsque vous utilisez des balises d'inclusion pour vos clusters Amazon ECS, vous n'avez pas besoin d'activer explicitement la **gestion automatique des GuardDuty agents**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
### Activation de la configuration automatique des agents pour les comptes de membres actifs existants
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Sur la page Runtime Monitoring, sous l'onglet **Configuration**, vous pouvez consulter l'état actuel de la configuration automatique des agents.
1. Dans le volet Configuration automatique de l'agent, dans la section **Comptes membres actifs**, sélectionnez **Actions**.
1. Dans **Actions**, choisissez **Activer pour tous les comptes membres actifs existants**.
1. Choisissez **Confirmer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Ajoutez une balise à ce cluster Amazon ECS avec la paire clé-valeur sous `GuardDutyManaged` la forme -. `false`
1. Empêchez la modification des balises, sauf par les entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1.
**Note**
Ajoutez toujours la balise d'exclusion à vos clusters Amazon ECS avant d'activer la configuration automatique des agents pour votre compte ; sinon GuardDuty , le conteneur annexe sera attaché à tous les conteneurs des tâches Amazon ECS lancées.
Sous l'onglet **Configuration**, dans la section Configuration automatique de l'agent, sous **Comptes membres actifs**, sélectionnez **Actions**.
1. Dans **Actions**, choisissez **Activer pour tous les comptes membres actifs**.
Pour les clusters Amazon ECS qui n'ont pas été exclus, il GuardDuty gérera le déploiement de l'agent de sécurité dans le conteneur annexe.
1. Choisissez **Confirmer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Ajoutez une balise à un cluster Amazon ECS pour lequel vous souhaitez inclure toutes les tâches. La paire clé-valeur doit être `GuardDutyManaged` -. `true`
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Note**
Lorsque vous utilisez des balises d'inclusion pour vos clusters Amazon ECS, vous n'avez pas besoin d'activer explicitement la **configuration automatisée des agents**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
### Activation automatique Configuration automatique des agents pour les nouveaux membres
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Sur la page Runtime Monitoring, choisissez **Modifier** pour mettre à jour la configuration existante.
1. Dans la section Configuration automatique de l'agent, sélectionnez **Activer automatiquement pour les nouveaux comptes membres**.
1. Choisissez **Enregistrer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Ajoutez une balise à ce cluster Amazon ECS avec la paire clé-valeur sous `GuardDutyManaged` la forme -. `false`
1. Empêchez la modification des balises, sauf par les entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1.
**Note**
Ajoutez toujours la balise d'exclusion à vos clusters Amazon ECS avant d'activer la configuration automatique des agents pour votre compte ; sinon GuardDuty , le conteneur annexe sera attaché à tous les conteneurs des tâches Amazon ECS lancées.
Dans l'onglet **Configuration**, sélectionnez **Activer automatiquement pour les nouveaux comptes membres** dans la section **Configuration automatique de l'agent**.
Pour les clusters Amazon ECS qui n'ont pas été exclus, il GuardDuty gérera le déploiement de l'agent de sécurité dans le conteneur annexe.
1. Choisissez **Enregistrer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Ajoutez une balise à un cluster Amazon ECS pour lequel vous souhaitez inclure toutes les tâches. La paire clé-valeur doit être `GuardDutyManaged` -. `true`
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Note**
Lorsque vous utilisez des balises d'inclusion pour vos clusters Amazon ECS, vous n'avez pas besoin d'activer explicitement la **configuration automatisée des agents**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
### Activation sélective de la configuration automatique des agents pour les comptes de membres actifs
------
#### [ Manage for all Amazon ECS (account level) ]
1. Sur la page Comptes, sélectionnez les comptes pour lesquels vous souhaitez activer la configuration automatique de l'agent Runtime Monitoring-Automated (ECS-Fargate). Vous pouvez sélectionner plusieurs comptes. Assurez-vous que les comptes que vous sélectionnez à cette étape sont déjà activés avec Runtime Monitoring.
1. Dans **Modifier les plans de protection**, choisissez l'option appropriée pour activer la **configuration automatique de l'agent Runtime Monitoring-Automated (**ECS-Fargate).
1. Choisissez **Confirmer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Ajoutez une balise à ce cluster Amazon ECS avec la paire clé-valeur sous `GuardDutyManaged` la forme -. `false`
1. Empêchez la modification des balises, sauf par les entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Ouvrez la GuardDuty console à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1.
**Note**
Ajoutez toujours la balise d'exclusion à vos clusters Amazon ECS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon GuardDuty , le conteneur annexe sera attaché à tous les conteneurs des tâches Amazon ECS lancées.
Sur la page Comptes, sélectionnez les comptes pour lesquels vous souhaitez activer la configuration automatique de l'agent Runtime Monitoring-Automated (ECS-Fargate). Vous pouvez sélectionner plusieurs comptes. Assurez-vous que les comptes que vous sélectionnez à cette étape sont déjà activés avec Runtime Monitoring.
Pour les clusters Amazon ECS qui n'ont pas été exclus, il GuardDuty gérera le déploiement de l'agent de sécurité dans le conteneur annexe.
1. Dans **Modifier les plans de protection**, choisissez l'option appropriée pour activer la **configuration automatique de l'agent Runtime Monitoring-Automated (**ECS-Fargate).
1. Choisissez **Enregistrer**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Assurez-vous de ne pas activer la configuration d'**agent automatisée (ou la configuration** d'**agent automatisée de surveillance du temps d'exécution (ECS-Fargate))** pour les comptes sélectionnés dotés des clusters Amazon ECS que vous souhaitez surveiller.
1. Ajoutez une balise à un cluster Amazon ECS pour lequel vous souhaitez inclure toutes les tâches. La paire clé-valeur doit être `GuardDutyManaged` -. `true`
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Note**
Lorsque vous utilisez des balises d'inclusion pour vos clusters Amazon ECS, vous n'avez pas besoin d'activer explicitement la **configuration automatisée des agents**.
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
------
## Configuration de GuardDuty l'agent pour un compte autonome
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1. Sous l'onglet **Configuration** :
1.
**Pour gérer la configuration automatisée des agents pour tous les clusters Amazon ECS (au niveau du compte)**
Choisissez **Activer** dans la section **Configuration automatique de l'agent** pour **AWS Fargate (ECS uniquement)**. Lorsqu'une nouvelle tâche Fargate Amazon ECS est GuardDuty lancée, il gère le déploiement de l'agent de sécurité.
1. Choisissez **Enregistrer**.
1.
**Pour gérer la configuration automatisée des agents en excluant certains clusters Amazon ECS (au niveau du cluster)**
1. Ajoutez une balise au cluster Amazon ECS pour lequel vous souhaitez exclure toutes les tâches. La paire clé-valeur doit être `GuardDutyManaged` -. `false`
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Sous l'onglet **Configuration**, choisissez **Activer** dans la section **Configuration automatique de l'agent**.
**Note**
Ajoutez toujours la balise d'exclusion à votre cluster Amazon ECS avant d'activer la gestion automatique des GuardDuty agents pour votre compte ; sinon, l'agent de sécurité sera déployé dans toutes les tâches lancées au sein du cluster Amazon ECS correspondant.
Pour les clusters Amazon ECS qui n'ont pas été exclus, il GuardDuty gérera le déploiement de l'agent de sécurité dans le conteneur annexe.
1. Choisissez **Enregistrer**.
1.
**Pour gérer la configuration automatisée des agents en incluant certains clusters Amazon ECS (au niveau du cluster)**
1. Ajoutez une balise à un cluster Amazon ECS pour lequel vous souhaitez inclure toutes les tâches. La paire clé-valeur doit être `GuardDutyManaged` -. `true`
1. Empêchez la modification de ces balises, sauf par des entités de confiance. La politique décrite dans [Empêcher la modification des balises, sauf selon les principes autorisés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dans le *Guide de AWS Organizations l'utilisateur*, a été modifiée pour être applicable ici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Lorsque vous GuardDuty souhaitez surveiller des tâches faisant partie d'un service, un nouveau service doit être déployé une fois que vous avez activé la surveillance du temps d'exécution. Si le dernier déploiement d'un service ECS spécifique a été lancé avant que vous n'activiez la surveillance du temps d'exécution, vous pouvez soit redémarrer le service, soit le mettre à jour en utilisant`forceNewDeployment`.
Pour savoir comment mettre à jour le service, consultez les ressources suivantes :
+ [Mettre à jour un service Amazon ECS à l'aide de la console décrite](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)dans le manuel *Amazon Elastic Container Service API Reference*.
+ [update-service dans le manuel](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) de référence des *AWS CLI commandes*.
# Gestion automatique de l'agent de sécurité pour les ressources Amazon EKS
La surveillance du temps d'exécution prend en charge l'activation de l'agent de sécurité par le biais d'une configuration GuardDuty automatique et manuelle. Cette section décrit les étapes permettant d'activer la configuration automatique des agents pour les clusters Amazon EKS.
Avant de continuer, assurez-vous d'avoir suivi le[Conditions préalables à la prise en charge des clusters Amazon EKS](prereq-runtime-monitoring-eks-support.md).
En fonction de l'approche que vous préférez[Gérez l'agent de sécurité via GuardDuty](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto), choisissez les étapes correspondantes dans les sections suivantes.
## Configuration de l'agent automatisé pour les environnements multi-comptes
Dans les environnements à comptes multiples, seul le compte d' GuardDuty administrateur délégué peut activer ou désactiver la configuration automatique des agents pour les comptes des membres et gérer l'agent automatique pour les clusters EKS appartenant aux comptes membres de leur organisation. Les comptes GuardDuty membres ne peuvent pas modifier cette configuration depuis leurs comptes. Le compte d' GuardDuty administrateur délégué gère les comptes de ses membres à l'aide de AWS Organizations. Pour plus d'informations sur les environnements à comptes multiples, veuillez consulter [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
### Configuration de la configuration automatique de l'agent pour le compte GuardDuty administrateur délégué
| **Approche préférée pour gérer les agents GuardDuty de sécurité** | **Étapes** |
| --- | --- |
| Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) | Si vous avez choisi **Activer pour tous les comptes** dans la section Surveillance du temps d'exécution, les options suivantes s'offrent à vous : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Si vous avez choisi **Configurer les comptes manuellement** dans la section Surveillance du temps d'exécution, procédez comme suit : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Choisissez **Enregistrer**. |
| Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) | Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS de votre compte : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestion manuelle de l'agent de GuardDuty sécurité | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Activation automatique Agent automatique pour tous les comptes de membres
**Note**
La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.
| **Approche préférée pour gérer les agents GuardDuty de sécurité** | **Étapes** |
| --- | --- |
| Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) | Cette rubrique vise à activer la surveillance du temps d'exécution pour tous les comptes membres. Par conséquent, les étapes suivantes supposent que vous devez avoir choisi **Activer pour tous les comptes** dans la section Surveillance du temps d'exécution. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) | Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour tous les comptes membres de votre organisation : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestion manuelle de l'agent de GuardDuty sécurité | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Activation de l'agent automatique pour tous les comptes de membres actifs existants
**Note**
La mise à jour de la configuration des comptes membres peut prendre jusqu'à 24 heures.
**Pour gérer l'agent GuardDuty de sécurité pour les comptes de membres actifs existants de votre organisation**
+ GuardDuty Pour recevoir les événements d'exécution des clusters EKS appartenant aux comptes de membres actifs existants de l'organisation, vous devez choisir une approche préférée pour gérer l'agent de GuardDuty sécurité pour ces clusters EKS. Pour plus d'informations sur ces approches, veuillez consulter [Approches pour gérer les agents GuardDuty de sécurité dans les clusters Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters).
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
### Activer automatiquement la configuration automatique des agents pour les nouveaux membres
| **Approche préférée pour gérer les agents GuardDuty de sécurité** | **Étapes** |
| --- | --- |
| Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) | Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS pour les nouveaux comptes membres de votre organisation. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestion manuelle de l'agent de GuardDuty sécurité | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, vous pouvez gérer l'agent de sécurité manuellement pour vos clusters EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### Configuration sélective de l'agent automatisé pour les comptes de membres actifs
| **Approche préférée pour gérer les agents GuardDuty de sécurité** | **Étapes** |
| --- | --- |
| Gérez l'agent de sécurité via GuardDuty (Surveiller tous les clusters EKS) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller tous les clusters EKS, mais en exclure certains (à l'aide de balises d'exclusion) | Dans les procédures suivantes, choisissez l'un des scénarios qui s'appliquent à vous. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Surveiller des clusters EKS sélectifs à l'aide de balises d'inclusion | Quelle que soit la manière dont vous avez choisi d'activer la surveillance du temps d'exécution, les étapes suivantes vous aideront à surveiller certains clusters EKS appartenant aux comptes sélectionnés : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| Gestion manuelle de l'agent de GuardDuty sécurité | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
## Configuration de l'agent automatisé pour un compte autonome
Un compte autonome prend la décision d'activer ou de désactiver un plan de protection Compte AWS dans un espace spécifique Région AWS.
Si votre compte est associé à un compte GuardDuty administrateur par le biais AWS Organizations d'une invitation ou par le biais d'une invitation, cette section ne s'applique pas à votre compte. Pour de plus amples informations, veuillez consulter [Activation de la surveillance du temps d'exécution pour les environnements à comptes multiples](enable-runtime-monitoring-multiple-acc-env.md).
Après avoir activé la surveillance du temps d'exécution, veillez à installer l'agent GuardDuty de sécurité par le biais d'une configuration automatique ou d'un déploiement manuel. Dans le cadre de toutes les étapes répertoriées dans la procédure suivante, veillez à installer l'agent de sécurité.
Selon votre préférence en matière de surveillance de toutes les ressources Amazon EKS ou de certaines d'entre elles, choisissez une méthode préférée et suivez les étapes décrites dans le tableau suivant.
1. Connectez-vous à la GuardDuty console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Dans le volet de navigation, choisissez **Runtime Monitoring**.
1. Dans l'onglet **Configuration**, choisissez **Activer pour activer** la configuration automatique des agents pour votre compte.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
# Gestion manuelle de l'agent de sécurité pour le cluster Amazon EKS
Cette section décrit comment vous pouvez gérer votre agent complémentaire Amazon EKS (GuardDuty agent) après avoir activé Runtime Monitoring (ou EKS Runtime Monitoring). Pour utiliser Runtime Monitoring, vous devez activer Runtime Monitoring et configurer le module complémentaire Amazon EKS,`aws-guardduty-agent`. Vous devez effectuer les deux étapes pour GuardDuty détecter les menaces potentielles et générer[GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md).
Pour gérer l'agent manuellement, vous devez créer un point de terminaison VPC comme condition préalable. Cela permet de GuardDuty recevoir les événements d'exécution. Ensuite, vous pouvez installer l'agent de sécurité afin qu'il commence à GuardDuty recevoir les événements d'exécution provenant des ressources Amazon EKS. Lorsque vous GuardDuty publiez une nouvelle version d'agent pour cette ressource, vous pouvez mettre à jour la version de l'agent dans votre compte.
**Topics**
+ [Prérequis — Création d'un point de terminaison Amazon VPC](eksrunmon-prereq-deploy-security-agent.md)
+ [Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Mise à jour manuelle de l'agent de sécurité pour les ressources Amazon EKS](eksrunmon-update-security-agent.md)
# Prérequis — Création d'un point de terminaison Amazon VPC
Avant de pouvoir installer l'agent GuardDuty de sécurité, vous devez créer un point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Cela vous aidera à GuardDuty recevoir les événements d'exécution de vos ressources Amazon EKS.
**Note**
L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.
Choisissez une méthode d'accès préférée pour créer un point de terminaison Amazon VPC.
------
#### [ Console ]
**Pour créer un point de terminaison VPC**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, sous **Cloud privé virtuel**, choisissez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**.
1. Sur la page **Créer un point de terminaison**, pour **Catégorie de services**, choisissez **Autres services de points de terminaison**.
1. Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**.
Assurez-vous de le remplacer *us-east-1* par la bonne région. Il doit s'agir de la même région que le cluster EKS qui appartient à votre Compte AWS identifiant.
1. Choisissez **Vérifier le service**.
1. Une fois le nom du service vérifié, choisissez le **VPC** dans lequel réside votre cluster. Ajoutez la stratégie suivante pour limiter l'utilisation de point de terminaison d'un VPC au compte spécifié uniquement. Avec l'organisation `Condition` indiquée sous cette stratégie, vous pouvez mettre à jour la stratégie suivante pour restreindre l'accès à votre point de terminaison. Pour fournir un support de point de terminaison VPC à un compte spécifique IDs de votre organisation, consultez. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
L'ID de compte `aws:PrincipalAccount` doit correspondre au compte contenant le VPC et le point de terminaison d'un VPC. La liste suivante indique comment partager le point de terminaison VPC avec d'autres personnes : Compte AWS IDs
**Condition d'organisation pour restreindre l'accès à votre point de terminaison**
+ Pour spécifier plusieurs comptes afin d'accéder au point de terminaison d'un VPC, remplacez `"aws:PrincipalAccount": "111122223333"` par ce qui suit :
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
+ Pour autoriser tous les membres d'une organisation à accéder au point de terminaison d'un VPC, remplacez `"aws:PrincipalAccount": "111122223333"` par ce qui suit :
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
+ Pour restreindre l'accès à une ressource à un ID d'organisation, ajoutez votre `ResourceOrgID` à la stratégie.
Pour plus d'informations, voir [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid).
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. Sous **Paramètres supplémentaires**, choisissez **Activer le nom DNS**.
1. Sous **Sous-réseaux**, choisissez les sous-réseaux dans lesquels réside votre cluster.
1. Sous **Groupes de sécurité**, choisissez un groupe de sécurité dont le port entrant 443 est activé depuis votre VPC (ou votre cluster EKS). Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, [créez un groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).
En cas de problème lors de la restriction des autorisations entrantes sur votre VPC (ou instance), vous pouvez accéder au port 443 entrant depuis n'importe quelle adresse IP. `(0.0.0.0/0)` Il GuardDuty recommande toutefois d'utiliser des adresses IP correspondant au bloc CIDR de votre VPC. Pour plus d'informations, consultez la section [Blocs d'adresse CIDR VPC dans le guide](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) de l'utilisateur Amazon *VPC.*
------
#### [ API/CLI ]
**Pour créer un point de terminaison VPC**
+ Invoquer [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html).
+ Utilisez les valeurs suivantes pour les paramètres :
+ Pour **Nom du service**, entrez **com.amazonaws.*us-east-1*.guardduty-data**.
Assurez-vous de le remplacer *us-east-1* par la bonne région. Il doit s'agir de la même région que le cluster EKS qui appartient à votre Compte AWS identifiant.
+ Pour [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html)activer l'option DNS privé en la définissant sur`true`.
+ Pour AWS Command Line Interface, voir [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).
------
Après avoir suivi les étapes, consultez [Validation de la configuration des points de terminaison VPC](validate-vpc-endpoint-config-runtime-monitoring.md) pour vous assurer que le point de terminaison VPC a été correctement configuré.
# Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS
Cette section décrit comment déployer l'agent de GuardDuty sécurité pour la première fois pour des clusters EKS spécifiques. Avant de passer à cette section, assurez-vous d'avoir déjà configuré les prérequis et activé la surveillance du temps d'exécution pour vos comptes. L'agent GuardDuty de sécurité (module complémentaire EKS) ne fonctionnera pas si vous n'activez pas la surveillance du temps d'exécution.
Choisissez votre méthode d'accès préférée pour déployer l'agent GuardDuty de sécurité pour la première fois.
------
#### [ Console ]
1. Ouvrez la console Amazon EKS à l'adresse [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Choisissez le **nom de votre cluster**.
1. Choisissez l’onglet **Modules complémentaires**.
1. Choisissez **Obtenez plus de modules complémentaires**.
1. Sur la page **Sélectionner les modules complémentaires**, choisissez **Amazon GuardDuty EKS Runtime Monitoring**.
1. GuardDuty recommande de choisir la dernière **version** de l'agent par défaut.
1. Sur la page **Configurer les paramètres du module complémentaire sélectionné**, utilisez les paramètres par défaut. Si le **statut** de votre module complémentaire EKS est **Nécessite une activation**, choisissez **Activer GuardDuty**. Cette action ouvre la GuardDuty console pour configurer la surveillance du temps d'exécution pour vos comptes.
1. Après avoir configuré la surveillance du temps d'exécution pour vos comptes, revenez à la console Amazon EKS. L'**état** de votre module complémentaire EKS doit être passé à **Prêt à installer**.
1.
**(Facultatif) Fourniture du schéma de configuration du module complémentaire EKS**
Pour la **version** complémentaire, si vous choisissez la version **v1.5.0** ou supérieure, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour plus d'informations sur les plages de paramètres, consultez[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).
1. Développez **les paramètres de configuration facultatifs** pour afficher les paramètres configurables ainsi que leur valeur et leur format attendus.
1. Définissez les paramètres. Les valeurs doivent être comprises dans la plage indiquée dans[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).
1. Choisissez **Enregistrer les modifications** pour créer le module complémentaire en fonction de la configuration avancée.
1. Pour la **méthode de résolution des conflits**, l'option que vous choisissez sera utilisée pour résoudre un conflit lorsque vous mettez à jour la valeur d'un paramètre à une valeur autre que celle par défaut. Pour plus d'informations sur les options répertoriées, consultez [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) dans le manuel *Amazon EKS API Reference*.
1. Choisissez **Suivant**.
1. Dans la page **Vérifier et créer**, vérifiez tous les détails, puis choisissez **Créer**.
1. Revenez aux détails du cluster et choisissez l'onglet **Ressources**.
1. Vous pouvez afficher les nouveaux modules avec le préfixe **aws-guardduty-agent**.
------
#### [ API/CLI ]
Vous pouvez configurer l'agent de module complémentaire Amazon EKS (`aws-guardduty-agent`) à l'aide de l'une des options suivantes :
+ Courez [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)pour votre compte.
+
**Note**
Pour le module complémentaire`version`, si vous choisissez la **version v1.5.0 ou supérieure**, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour de plus amples informations, veuillez consulter [Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).
Utilisez les valeurs suivantes pour les paramètres de demande :
+ Pour `addonName`, saisissez `aws-guardduty-agent`.
Vous pouvez utiliser l' AWS CLI exemple suivant lorsque vous utilisez des valeurs configurables prises en charge pour les versions complémentaires `v1.5.0` ou supérieures. Assurez-vous de remplacer les valeurs d'espace réservé surlignées en rouge et celles `Example.json` associées aux valeurs configurées.
```
aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example Exemple.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
+ Pour plus d'informations sur les `addonVersion` pris en charge, veuillez consulter [Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Vous pouvez également utiliser AWS CLI. Pour plus d'informations, consultez [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).
------
**Noms DNS privés pour le point de terminaison VPC**
Par défaut, l'agent de sécurité résout et se connecte au nom DNS privé du point de terminaison VPC. Pour un point de terminaison non FIPS, votre DNS privé apparaîtra au format suivant :
Point de terminaison non FIPS — `guardduty-data.us-east-1.amazonaws.com`
Le Région AWS*us-east-1*, changera en fonction de votre région.
# Mise à jour manuelle de l'agent de sécurité pour les ressources Amazon EKS
Lorsque vous gérez l'agent GuardDuty de sécurité manuellement, il vous incombe de le mettre à jour pour votre compte. Pour être informé des nouvelles versions de l'agent, vous pouvez vous abonner à un flux RSS sur[GuardDuty versions publiées de l'agent de sécurité](runtime-monitoring-agent-release-history.md).
Vous pouvez mettre à jour l'agent de sécurité vers la dernière version pour bénéficier du support et des améliorations supplémentaires. Si le support standard de la version actuelle de votre agent touche à sa fin, pour continuer à utiliser Runtime Monitoring (ou EKS Runtime Monitoring), vous devez passer à la prochaine version disponible ou à la dernière version de l'agent.
**Prérequis**
Avant de mettre à jour la version de l'agent de sécurité, assurez-vous que la version de l'agent que vous prévoyez d'utiliser maintenant est compatible avec votre version de Kubernetes. Pour de plus amples informations, veuillez consulter [Versions de Kubernetes prises en charge par l'agent de sécurité GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
------
#### [ Console ]
1. Ouvrez la console Amazon EKS à l'adresse [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Choisissez le **nom de votre cluster**.
1. Sous les **informations du cluster**, choisissez l'onglet **Modules complémentaires**.
1. Dans l'onglet **Modules complémentaires**, sélectionnez **GuardDutyEKS Runtime Monitoring**.
1. Choisissez **Modifier** pour mettre à jour les informations de l'agent.
1. Sur la page **Configurer la surveillance du temps d'exécution GuardDuty EKS**, mettez à jour les détails.
1.
**(Facultatif) Mise à jour des paramètres de configuration facultatifs**
Si la **version** de votre module complémentaire EKS est *1.5.0* ou supérieure, vous pouvez également mettre à jour le schéma de configuration du module complémentaire.
1. Développez **les paramètres de configuration facultatifs** pour afficher le schéma de configuration.
1. Mettez à jour les valeurs des paramètres en fonction de la plage fournie dans[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).
1. Choisissez **Enregistrer les modifications** pour démarrer la mise à jour.
1. Pour la **méthode de résolution des conflits**, l'option que vous choisissez sera utilisée pour résoudre un conflit lorsque vous mettez à jour la valeur d'un paramètre à une valeur autre que celle par défaut. Pour plus d'informations sur les options répertoriées, consultez [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) dans le manuel *Amazon EKS API Reference*.
------
#### [ API/CLI ]
Pour mettre à jour l'agent GuardDuty de sécurité pour vos clusters Amazon EKS, consultez la section [Mise à jour d'un module complémentaire](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on).
**Note**
Pour le module complémentaire`version`, si vous choisissez la **version 1.5.0 ou une version ultérieure**, Runtime Monitoring prend en charge la configuration de paramètres spécifiques de l' GuardDuty agent. Pour plus d'informations sur les plages de paramètres, consultez[Configuration des paramètres du module complémentaire EKS](guardduty-configure-security-agent-eks-addon.md).
Vous pouvez utiliser l' AWS CLI exemple suivant lorsque vous utilisez des valeurs configurables prises en charge pour les versions complémentaires *1.5.0 et supérieures*. Assurez-vous de remplacer les valeurs d'espace réservé surlignées en rouge et celles `Example.json` associées aux valeurs configurées.
```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example Exemple.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
------
Si la version de votre module complémentaire Amazon EKS est 1.5.0 ou supérieure et que vous avez configuré le schéma du module complémentaire, vous pouvez vérifier si les valeurs apparaissent correctement pour votre cluster. Pour de plus amples informations, veuillez consulter [Vérification des mises à jour du schéma de configuration](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).
# Configuration des paramètres GuardDuty de l'agent de sécurité (module complémentaire) pour Amazon EKS
Vous pouvez configurer des paramètres spécifiques de votre agent GuardDuty de sécurité pour Amazon EKS. Ce support est disponible pour les versions 1.5.0 et supérieures de l'agent de GuardDuty sécurité. Pour plus d'informations sur les dernières versions des modules complémentaires, consultez[GuardDuty versions de l'agent de sécurité pour les ressources Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).
**Pourquoi dois-je mettre à jour le schéma de configuration de l'agent de sécurité**
Le schéma de configuration de l'agent GuardDuty de sécurité est le même pour tous les conteneurs de vos clusters Amazon EKS. Lorsque les valeurs par défaut ne correspondent pas aux charges de travail et à la taille de l'instance associées, envisagez de configurer les paramètres du processeur`PriorityClass`, les paramètres de mémoire et `dnsPolicy` les paramètres. Quelle que soit la façon dont vous gérez l' GuardDuty agent pour vos clusters Amazon EKS, vous pouvez configurer ou mettre à jour la configuration existante de ces paramètres.
## Comportement de configuration automatique des agents avec paramètres configurés
Lorsqu'il GuardDuty gère l'agent de sécurité (module complémentaire EKS) en votre nom, il met à jour le module complémentaire en fonction des besoins. GuardDuty définira la valeur des paramètres configurables sur une valeur par défaut. Cependant, vous pouvez toujours mettre à jour les paramètres à la valeur souhaitée. Si cela entraîne un conflit, l'option par défaut pour [ResolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) est. `None`
## Paramètres et valeurs configurables
Pour plus d'informations sur les étapes de configuration des paramètres du module complémentaire, voir :
+ [Installation manuelle GuardDuty de l'agent de sécurité sur les ressources Amazon EKS](eksrunmon-deploy-security-agent.md) ou
+ [Mise à jour manuelle de l'agent de sécurité pour les ressources Amazon EKS](eksrunmon-update-security-agent.md)
Les tableaux suivants indiquent les plages et les valeurs que vous pouvez utiliser pour déployer le module complémentaire Amazon EKS manuellement ou pour mettre à jour les paramètres du module complémentaire existant.
**Réglages du processeur**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**Réglages de mémoire**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**Paramètres `PriorityClass`**
Lorsque vous GuardDuty créez un module complémentaire Amazon EKS pour vous, le module attribué `PriorityClass` est`aws-guardduty-agent.priorityclass`. Cela signifie qu'aucune action ne sera entreprise en fonction de la priorité de l'agent pod. Vous pouvez configurer ce paramètre complémentaire en choisissant l'une des `PriorityClass` options suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes propose ces deux `PriorityClass` options — et. `system-cluster-critical` `system-node-critical` Pour plus d'informations, consultez la [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)documentation de *Kubernetes*.
**Paramètres `dnsPolicy`**
Choisissez l'une des options de politique DNS suivantes prises en charge par Kubernetes. Lorsqu'aucune configuration n'est spécifiée, elle `ClusterFirst` est utilisée comme valeur par défaut.
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
Pour plus d'informations sur ces politiques, consultez la [politique DNS de Pod](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy) dans la documentation de *Kubernetes*.
## Vérification des mises à jour du schéma de configuration
Après avoir configuré les paramètres, effectuez les étapes suivantes pour vérifier que le schéma de configuration a été mis à jour :
1. Ouvrez la console Amazon EKS à l'adresse [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).
1. Dans le panneau de navigation, choisissez **Clusters**.
1. Sur la page **Clusters**, sélectionnez le **nom du cluster** dont vous souhaitez vérifier les mises à jour.
1. Sélectionnez l'onglet **Ressources**.
1. Dans le volet **Types de ressources**, sous **Charges de travail**, sélectionnez **DaemonSets**.
1. Sélectionnez **aws-guardduty-agent**.
1. Sur la **aws-guardduty-agent**page, choisissez **Vue brute pour afficher** la réponse JSON non formatée. Vérifiez que les paramètres configurables affichent la valeur que vous avez fournie.
Après avoir vérifié, passez à la GuardDuty console. Sélectionnez le correspondant Région AWS et consultez l'état de couverture de vos clusters Amazon EKS. Pour de plus amples informations, veuillez consulter [Couverture du temps d'exécution et résolution des problèmes pour les clusters Amazon EKS](eks-runtime-monitoring-coverage.md).
# Validation de la configuration des points de terminaison VPC
Après avoir installé l'agent de sécurité manuellement ou par le biais d'une configuration GuardDuty automatique, vous pouvez utiliser ce document pour valider la configuration du point de terminaison VPC. Vous pouvez également suivre ces étapes après avoir résolu tout [problème de couverture d'exécution](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html) pour un type de ressource. Vous pouvez vous assurer que les étapes ont fonctionné comme prévu et que le statut de couverture pourrait apparaître comme **sain**.
Suivez les étapes suivantes pour vérifier que la configuration du point de terminaison VPC pour votre type de ressource est correctement configurée dans le compte du propriétaire du VPC :
1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation, sous **Virtual private cloud**, sélectionnez **Your VPCs**.
1. Sur la VPCs page **Votre**, choisissez le **IPv4 CIDR** associé à votre ID **VPC**.
1. Dans le panneau de navigation, sous **Cloud privé virtuel**, choisissez **Points de terminaison**.
1. Dans le tableau **Endpoints**, sélectionnez la ligne dont le **nom du service** est similaire à **com.amazonaws. *us-east-1*.guardduty-data**. La région (`us-east-1`) peut être différente pour votre terminal.
1. Un panneau contenant les détails du point de terminaison apparaîtra. Sous l'onglet **Groupes de sécurité**, sélectionnez le lien **ID de groupe** associé pour plus de détails.
1. Dans le tableau **des groupes de sécurité**, sélectionnez la ligne associée à l'**ID du groupe de sécurité** pour afficher les détails.
1. **Dans l'onglet **Règles entrantes**, assurez-vous qu'il existe une politique d'entrée avec la **plage de ports** **443** et la **source** comme valeur copiée depuis le IPv4 CIDR.** Les règles de trafic entrant contrôlent le trafic entrant autorisé à atteindre l'instance. L'image suivante montre les règles entrantes pour un groupe de sécurité associé au VPC utilisé par GuardDuty l'agent de sécurité.
Si vous ne possédez pas encore de groupe de sécurité dont le port entrant 443 est activé, [créez un groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) dans le guide de l'*utilisateur Amazon EC2*.
En cas de problème lors de la restriction des autorisations entrantes sur votre VPC (ou cluster), fournissez le support au port 443 entrant depuis n'importe quelle adresse IP (0.0.0.0/0).
La liste suivante contient des éléments utiles à connaître après l'installation ou la mise à jour de l'agent de sécurité.
**Évaluez la couverture d'exécution**
Après l'installation ou la mise à jour de votre agent de sécurité, l'étape suivante consiste à évaluer la couverture d'exécution de vos ressources. Si l'état de couverture du temps **d'**exécution est incorrect, vous devez résoudre le problème. Pour de plus amples informations, veuillez consulter [Problèmes de couverture du temps d'exécution et résolution des problèmes](runtime-monitoring-assessing-coverage.md).
Si l'état de la couverture du temps d'exécution indique **que** Runtime Monitoring est en mesure de collecter et de recevoir des événements d'exécution. Pour obtenir la liste de ces événements, consultez[Types d'événement d'exécution collectés](runtime-monitoring-collected-events.md).
**Nom DNS privé pour le point de terminaison**
Une fois que vous avez installé l'agent de GuardDuty sécurité pour vos ressources, par défaut, il se résoudra et se connectera au nom DNS privé du point de terminaison VPC. Pour un point de terminaison non FIPS, le DNS privé apparaîtra au format suivant :
`guardduty-data.us-east-1.amazonaws.com`
Le Région AWS*us-east-1*, changera en fonction de votre région.
**Un hôte peut être installé avec deux agents de sécurité**
Lorsque vous utilisez l'agent GuardDuty de sécurité pour une instance Amazon EC2, vous pouvez installer et utiliser l'agent sur l'hôte sous-jacent au sein d'un cluster Amazon EKS. Si vous avez déjà déployé un agent de sécurité sur ce cluster EKS, deux agents de sécurité peuvent être exécutés simultanément sur le même hôte. Pour plus d'informations sur le GuardDuty fonctionnement de ce scénario, consultez[Agents de sécurité sur le même hôte](two-security-agents-installed-on-ec2-node.md).