Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengelola agen keamanan otomatis untuk Fargate (hanya Amazon ECS)
Runtime Monitoring mendukung pengelolaan agen keamanan untuk cluster Amazon ECS (AWS Fargate) Anda hanya melalui. GuardDuty Tidak ada dukungan untuk mengelola agen keamanan secara manual di cluster Amazon ECS.
Sebelum melanjutkan dengan langkah-langkah di bagian ini, pastikan untuk mengikuti[Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS)](prereq-runtime-monitoring-ecs-support.md).
Berdasarkan[Pendekatan untuk mengelola agen GuardDuty keamanan di sumber daya Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), pilih metode yang disukai untuk mengaktifkan agen GuardDuty otomatis untuk sumber daya Anda.
**Topics**
## Mengkonfigurasi GuardDuty agen untuk lingkungan multi-akun
Dalam lingkungan beberapa akun, hanya akun GuardDuty administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan konfigurasi agen otomatis untuk akun anggota, dan mengelola konfigurasi agen otomatis untuk klaster Amazon ECS milik akun anggota di organisasinya. Akun GuardDuty anggota tidak dapat mengubah konfigurasi ini. Akun GuardDuty administrator yang didelegasikan mengelola akun anggota mereka menggunakan AWS Organizations. Untuk informasi selengkapnya tentang lingkungan multi-akun, lihat [Mengelola beberapa akun di GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
### Mengaktifkan konfigurasi agen otomatis untuk akun administrator yang didelegasikan GuardDuty
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Jika Anda memilih **Aktifkan untuk semua akun** untuk Runtime Monitoring, maka Anda memiliki opsi berikut:
+ Pilih **Aktifkan untuk semua akun** di bagian Konfigurasi agen otomatis. GuardDuty akan menyebarkan dan mengelola agen keamanan untuk semua tugas Amazon ECS yang diluncurkan.
+ Pilih **Konfigurasikan akun secara manual**.
Jika Anda memilih **Konfigurasi akun secara manual** di bagian Runtime Monitoring, lakukan hal berikut:
1. Pilih **Konfigurasi akun secara manual** di bagian Konfigurasi agen otomatis.
1. Pilih **Aktifkan** di bagian **akun GuardDuty administrator yang didelegasikan (akun ini)**.
Pilih **Simpan**.
Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. `GuardDutyManaged` `false`
1. Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Runtime** Monitoring.
1.
**catatan**
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab **Konfigurasi**, pilih **Aktifkan** dalam **konfigurasi agen otomatis**.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
1. Pilih **Simpan**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus `GuardDutyManaged` -. `true`
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**catatan**
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan GuardDuty agen melalui kongifurasi agen otomatis secara eksplisit.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
### Aktifkan otomatis untuk semua akun anggota
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Langkah-langkah berikut mengasumsikan bahwa Anda memilih **Aktifkan untuk semua akun** di bagian Runtime Monitoring.
1. Pilih **Aktifkan untuk semua akun** di bagian Konfigurasi agen otomatis. GuardDuty akan menyebarkan dan mengelola agen keamanan untuk semua tugas Amazon ECS yang diluncurkan.
1. Pilih **Simpan**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. `GuardDutyManaged` `false`
1. Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Runtime** Monitoring.
1.
**catatan**
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab **Konfigurasi**, pilih **Edit**.
1. Pilih **Aktifkan untuk semua akun** di bagian **Konfigurasi agen otomatis**
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
1. Pilih **Simpan**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Terlepas dari cara Anda memilih untuk mengaktifkan Runtime Monitoring, langkah-langkah berikut akan membantu Anda memantau tugas Amazon ECS Fargate selektif untuk semua akun anggota di organisasi Anda.
1. Jangan aktifkan konfigurasi apa pun di bagian Konfigurasi agen otomatis. Pertahankan konfigurasi Runtime Monitoring sama seperti yang Anda pilih pada langkah sebelumnya.
1. Pilih **Simpan**.
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**catatan**
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan manajemen **otomatis GuardDuty agen secara** eksplisit.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
### Mengaktifkan konfigurasi agen otomatis untuk akun anggota aktif yang ada
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Pada halaman Runtime Monitoring, di bawah tab **Konfigurasi**, Anda dapat melihat status konfigurasi agen Otomatis saat ini.
1. Dalam panel konfigurasi agen otomatis, di bawah bagian **Akun anggota aktif**, pilih **Tindakan**.
1. Dari **Tindakan**, pilih **Aktifkan untuk semua akun anggota aktif yang ada**.
1. Pilih **Konfirmasi**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. `GuardDutyManaged` `false`
1. Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Runtime** Monitoring.
1.
**catatan**
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab **Konfigurasi**, di bagian Konfigurasi agen otomatis, di bawah **Akun anggota aktif**, pilih **Tindakan**.
1. Dari **Tindakan**, pilih **Aktifkan untuk semua akun anggota aktif**.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
1. Pilih **Konfirmasi**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus `GuardDutyManaged` -. `true`
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**catatan**
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan **konfigurasi agen otomatis secara eksplisit**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
### Aktifkan otomatis konfigurasi agen otomatis untuk anggota baru
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Pada halaman Runtime Monitoring, pilih **Edit** untuk memperbarui konfigurasi yang ada.
1. Di bagian Konfigurasi agen otomatis, pilih **Aktifkan secara otomatis untuk akun anggota baru**.
1. Pilih **Simpan**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. `GuardDutyManaged` `false`
1. Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Runtime** Monitoring.
1.
**catatan**
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan konfigurasi agen otomatis untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Di bawah tab **Konfigurasi**, pilih **Aktifkan secara otomatis untuk akun anggota baru** di bagian **Konfigurasi agen otomatis**.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
1. Pilih **Simpan**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus `GuardDutyManaged` -. `true`
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**catatan**
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan **konfigurasi agen otomatis secara eksplisit**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
### Mengaktifkan konfigurasi agen otomatis untuk akun anggota aktif secara selektif
------
#### [ Manage for all Amazon ECS (account level) ]
1. Pada halaman Akun, pilih akun yang ingin Anda aktifkan konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate). Anda dapat memilih beberapa akun. Pastikan akun yang Anda pilih pada langkah ini sudah diaktifkan dengan Runtime Monitoring.
1. Dari **Edit paket perlindungan**, pilih opsi yang sesuai untuk mengaktifkan **konfigurasi agen Runtime Monitoring-Automated agent** (ECS-Fargate).
1. Pilih **Konfirmasi**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Tambahkan tag ke cluster Amazon ECS ini dengan pasangan nilai kunci sebagai -. `GuardDutyManaged` `false`
1. Mencegah modifikasi tag, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Runtime** Monitoring.
1.
**catatan**
Selalu tambahkan tag pengecualian ke kluster Amazon ECS Anda sebelum mengaktifkan manajemen otomatis GuardDuty agen untuk akun Anda; jika tidak, wadah GuardDuty sespan akan dilampirkan ke semua kontainer dalam tugas Amazon ECS yang diluncurkan.
Pada halaman Akun, pilih akun yang ingin Anda aktifkan konfigurasi agen Runtime Monitoring-Automated agent (ECS-Fargate). Anda dapat memilih beberapa akun. Pastikan akun yang Anda pilih pada langkah ini sudah diaktifkan dengan Runtime Monitoring.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
1. Dari **Edit paket perlindungan**, pilih opsi yang sesuai untuk mengaktifkan **konfigurasi agen Runtime Monitoring-Automated agent** (ECS-Fargate).
1. Pilih **Simpan**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Pastikan Anda tidak mengaktifkan **konfigurasi agen Otomatis (atau Konfigurasi agen** **Runtime Monitoring-Automated agent (ECS-Fargate))** untuk akun terpilih yang memiliki kluster Amazon ECS yang ingin Anda pantau.
1. Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus `GuardDutyManaged` -. `true`
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**catatan**
Saat menggunakan tag inklusi untuk kluster Amazon ECS, Anda tidak perlu mengaktifkan **konfigurasi agen otomatis secara eksplisit**.
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *
------
## Mengkonfigurasi GuardDuty agen untuk akun mandiri
1. Masuk ke Konsol Manajemen AWS dan buka GuardDuty konsol di [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Di panel navigasi, pilih **Runtime** Monitoring.
1. Di bawah tab **Konfigurasi**:
1.
**Untuk mengelola konfigurasi agen otomatis untuk semua klaster Amazon ECS (tingkat akun)**
Pilih **Aktifkan** di bagian **Konfigurasi agen otomatis** untuk **AWS Fargate (khusus ECS)**. Ketika tugas Fargate Amazon ECS baru diluncurkan, GuardDuty akan mengelola penyebaran agen keamanan.
1. Pilih **Simpan**.
1.
**Untuk mengelola konfigurasi agen otomatis dengan mengecualikan beberapa klaster Amazon ECS (tingkat klaster)**
1. Tambahkan tag ke cluster Amazon ECS yang ingin Anda kecualikan semua tugasnya. Pasangan kunci-nilai harus `GuardDutyManaged` -. `false`
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Di bawah tab **Konfigurasi**, pilih **Aktifkan** di bagian **Konfigurasi agen otomatis**.
**catatan**
Selalu tambahkan tag pengecualian ke cluster Amazon ECS Anda sebelum mengaktifkan manajemen otomatis GuardDuty agen untuk akun Anda; jika tidak, agen keamanan akan digunakan di semua tugas yang diluncurkan dalam cluster Amazon ECS yang sesuai.
Untuk cluster Amazon ECS yang belum dikecualikan, GuardDuty akan mengelola penyebaran agen keamanan di wadah sespan.
1. Pilih **Simpan**.
1.
**Untuk mengelola konfigurasi agen otomatis dengan menyertakan beberapa klaster Amazon ECS (tingkat klaster)**
1. Tambahkan tag ke cluster Amazon ECS yang ingin Anda sertakan semua tugasnya. Pasangan kunci-nilai harus `GuardDutyManaged` -. `true`
1. Mencegah modifikasi tag ini, kecuali oleh entitas tepercaya. Kebijakan yang disediakan dalam [Mencegah tag diubah kecuali oleh prinsip-prinsip resmi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) dalam *Panduan AWS Organizations Pengguna* telah dimodifikasi agar dapat diterapkan di sini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Ketika Anda GuardDuty ingin memantau tugas yang merupakan bagian dari layanan, itu memerlukan penerapan layanan baru setelah Anda mengaktifkan Runtime Monitoring. Jika penerapan terakhir untuk layanan ECS tertentu dimulai sebelum Anda mengaktifkan Runtime Monitoring, Anda dapat memulai ulang layanan, atau memperbarui layanan dengan menggunakan. `forceNewDeployment`
Untuk langkah-langkah memperbarui layanan, lihat sumber daya berikut:
+ [Memperbarui layanan Amazon ECS menggunakan konsol](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) di *Panduan Pengembang Layanan Amazon Elastic Container*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)di *Referensi API Layanan Amazon Elastic Container*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) *di Command Reference.AWS CLI *