Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Prasyarat untuk dukungan instans Amazon EC2
<a name="prereq-runtime-monitoring-ec2-support"></a>

Bagian ini mencakup prasyarat untuk memantau perilaku runtime instans Amazon EC2 Anda. Setelah prasyarat ini terpenuhi, lihat. [Mengaktifkan GuardDuty Runtime Monitoring](runtime-monitoring-configuration.md)

**Topics**
+ [Jadikan instans EC2 SSM dikelola (hanya untuk konfigurasi agen otomatis)](#ssm-managed-prereq-ec2)
+ [Validasi persyaratan arsitektur](#validating-architecture-req-ec2)
+ [Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun](#validate-organization-scp-ec2)
+ [Saat menggunakan konfigurasi agen otomatis](#runtime-ec2-prereq-automated-agent)
+ [CPU dan batas memori untuk GuardDuty agen](#ec2-cpu-memory-limits-gdu-agent)
+ [Langkah berikutnya](#next-step-after-prereq-ec2)

## Jadikan instans EC2 SSM dikelola (hanya untuk konfigurasi agen otomatis)
<a name="ssm-managed-prereq-ec2"></a>

GuardDuty menggunakan AWS Systems Manager (SSM) untuk secara otomatis menyebarkan, menginstal, dan mengelola agen keamanan pada instans Anda. Jika Anda berencana untuk menginstal dan mengelola GuardDuty agen secara manual, SSM tidak diperlukan. 

*Untuk mengelola instans Amazon EC2 dengan Systems Manager, lihat [Menyiapkan Systems Manager untuk instans Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) di Panduan Pengguna.AWS Systems Manager *

## Validasi persyaratan arsitektur
<a name="validating-architecture-req-ec2"></a>

Arsitektur distribusi OS Anda dapat memengaruhi perilaku agen GuardDuty keamanan. Anda harus memenuhi persyaratan berikut sebelum menggunakan Runtime Monitoring untuk instans Amazon EC2:
+ Dukungan kernel termasuk`eBPF`, `Tracepoints` dan`Kprobe`. Untuk arsitektur CPU, Runtime Monitoring mendukung AMD64 (`x64`) dan ARM64 (Graviton2 dan di atasnya). [1](#runtime-monitoring-ec2-graviton-2-support)

  Tabel berikut menunjukkan distribusi OS yang telah diverifikasi untuk mendukung agen GuardDuty keamanan untuk instans Amazon EC2.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)

  1. <a name="runtime-monitoring-ec2-graviton-2-support"></a>Runtime Monitoring untuk resource Amazon EC2 tidak mendukung instans Graviton generasi pertama seperti tipe instans A1.

  1. <a name="runtime-monitoring-ec2-os-support"></a>Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan Runtime Monitoring untuk distribusi operasi yang tercantum dalam tabel sebelumnya. Sementara agen GuardDuty keamanan dapat berjalan pada sistem operasi yang tidak tercantum dalam tabel sebelumnya, GuardDuty tim tidak dapat menjamin nilai keamanan yang diharapkan.

  1. <a name="runtime-monitoring-ec2-kernel-version-required-flag"></a>Untuk versi kernel apa pun, Anda harus menyetel `CONFIG_DEBUG_INFO_BTF` flag ke `y` (artinya *true*). Ini diperlukan agar agen GuardDuty keamanan dapat berjalan seperti yang diharapkan.

  1. <a name="runtime-monitoring-ec2-kernel-5-10"></a>Untuk kernel versi 5.10 dan sebelumnya, agen GuardDuty keamanan menggunakan memori terkunci di RAM (`RLIMIT_MEMLOCK`) berfungsi seperti yang diharapkan. Jika `RLIMIT_MEMLOCK` nilai sistem Anda disetel terlalu rendah, GuardDuty rekomendasikan pengaturan batas keras dan lunak setidaknya 32 MB. Untuk informasi tentang memverifikasi dan memodifikasi `RLIMIT_MEMLOCK` nilai default, lihat[Melihat dan memperbarui `RLIMIT_MEMLOCK` nilai](#runtime-monitoring-ec2-modify-rlimit-memlock).

  1. <a name="runtime-monitoring-ec2-ubuntu-noble-agent-version"></a>Untuk Ubuntu 24.04, kernel versi 6.13 dan 6.14 mendukung versi agen EC2 hanya 1.9.2 dan di atasnya.
+ Persyaratan tambahan - Hanya jika Anda memiliki Amazon ECS/Amazon EC2

  Untuk Amazon ECS/Amazon EC2, kami menyarankan Anda menggunakan Amazon ECS terbaru yang dioptimalkan AMIs (tertanggal 29 September 2023 atau lebih baru), atau menggunakan agen Amazon ECS versi v1.77.0. 

### Melihat dan memperbarui `RLIMIT_MEMLOCK` nilai
<a name="runtime-monitoring-ec2-modify-rlimit-memlock"></a>

Ketika `RLIMIT_MEMLOCK` batas sistem Anda ditetapkan terlalu rendah, agen GuardDuty keamanan mungkin tidak berfungsi seperti yang dirancang. GuardDuty merekomendasikan bahwa batas keras dan lunak harus setidaknya 32 MB. Jika Anda tidak memperbarui batas, tidak GuardDuty akan dapat memantau peristiwa runtime untuk sumber daya Anda. Ketika `RLIMIT_MEMLOCK` berada di atas batas minimum yang dinyatakan, itu menjadi opsional bagi Anda untuk memperbarui batas ini.

Anda dapat mengubah `RLIMIT_MEMLOCK` nilai default baik sebelum atau setelah menginstal agen GuardDuty keamanan. 

**Untuk melihat `RLIMIT_MEMLOCK` nilai**

1. Jalankan `ps aux | grep guardduty`. Ini akan menampilkan ID proses (`pid`).

1. Salin ID proses (`pid`) dari output dari perintah sebelumnya.

1. Jalankan `grep "Max locked memory" /proc/pid/limits` setelah mengganti `pid` dengan ID proses yang disalin dari langkah sebelumnya.

   Ini akan menampilkan memori terkunci maksimum untuk menjalankan agen GuardDuty keamanan.

**Untuk memperbarui `RLIMIT_MEMLOCK` nilai**

1. Jika `/etc/systemd/system.conf.d/NUMBER-limits.conf` file tersebut ada, maka komentari baris `DefaultLimitMEMLOCK` dari file ini. File ini menetapkan default `RLIMIT_MEMLOCK` dengan prioritas tinggi, yang menimpa pengaturan Anda dalam `/etc/systemd/system.conf` file.

1. Buka `/etc/systemd/system.conf` file dan hapus komentar pada baris yang ada`#DefaultLimitMEMLOCK=`.

1. Perbarui nilai default dengan memberikan `RLIMIT_MEMLOCK` batas keras dan lunak setidaknya 32MB. Pembaruan akan terlihat seperti ini:`DefaultLimitMEMLOCK=32M:32M`. Formatnya adalah `soft-limit:hard-limit`.

1. Jalankan `sudo reboot`.

## Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun
<a name="validate-organization-scp-ec2"></a>

Jika Anda telah menyiapkan kebijakan kontrol layanan (SCP) untuk mengelola izin di organisasi Anda, validasi bahwa batas izin memungkinkan tindakan tersebut. `guardduty:SendSecurityTelemetry` Hal ini diperlukan GuardDuty untuk mendukung Runtime Monitoring di berbagai jenis sumber daya.

Jika Anda adalah akun anggota, hubungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).

## Saat menggunakan konfigurasi agen otomatis
<a name="runtime-ec2-prereq-automated-agent"></a>

Untuk[Gunakan konfigurasi agen otomatis (disarankan)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2), Anda Akun AWS harus memenuhi prasyarat berikut:
+ Saat menggunakan tag inklusi dengan konfigurasi agen otomatis, GuardDuty untuk membuat asosiasi SSM untuk instance baru, pastikan instans baru dikelola SSM dan muncul di bawah **Fleet Manager** di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)konsol.
+ Saat menggunakan tag pengecualian dengan konfigurasi agen otomatis:
  + Tambahkan `false` tag`GuardDutyManaged`: sebelum mengonfigurasi agen GuardDuty otomatis untuk akun Anda.

    Pastikan Anda menambahkan tag pengecualian ke instans Amazon EC2 sebelum meluncurkannya. Setelah Anda mengaktifkan konfigurasi agen otomatis untuk Amazon EC2, instans EC2 apa pun yang diluncurkan tanpa tag pengecualian akan tercakup dalam konfigurasi agen otomatis. GuardDuty 
  + Aktifkan **Izinkan tag dalam pengaturan metadata** untuk instance Anda. Pengaturan ini diperlukan karena GuardDuty perlu membaca tag pengecualian dari layanan metadata instance (IMDS) untuk menentukan apakah harus mengecualikan instance dari instalasi agen. Untuk informasi selengkapnya, lihat [Mengaktifkan akses ke tag dalam metadata instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-tags-in-IMDS.html#allow-access-to-tags-in-IMDS) di Panduan Pengguna *Amazon EC2*.

## CPU dan batas memori untuk GuardDuty agen
<a name="ec2-cpu-memory-limits-gdu-agent"></a>

**Batas CPU**  
Batas CPU maksimum untuk agen GuardDuty keamanan yang terkait dengan instans Amazon EC2 adalah 10 persen dari total inti vCPU. Misalnya, jika instans EC2 Anda memiliki 4 core vCPU, maka agen keamanan dapat menggunakan maksimum 40 persen dari total 400 persen yang tersedia.

**Batas memori**  
Dari memori yang terkait dengan instans Amazon EC2 Anda, ada memori terbatas yang dapat digunakan agen GuardDuty keamanan.   
Tabel berikut menunjukkan batas memori.      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)

## Langkah berikutnya
<a name="next-step-after-prereq-ec2"></a>

Langkah selanjutnya adalah mengkonfigurasi Runtime Monitoring dan juga mengelola agen keamanan (secara otomatis atau manual).