Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS)
Runtime Monitoring supporta la gestione dell'agente di sicurezza per i cluster Amazon ECS (AWS Fargate) solo tramite. GuardDuty Non è disponibile alcun supporto per la gestione manuale del security agent sui cluster Amazon ECS.
Prima di procedere con i passaggi di questa sezione, assicurati di seguire. [Prerequisiti per il AWS Fargate supporto (solo Amazon ECS)](prereq-runtime-monitoring-ecs-support.md)
In base a[Approcci per gestire gli agenti GuardDuty di sicurezza nelle risorse di Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), scegli un metodo preferito per abilitare l'agente GuardDuty automatizzato per le tue risorse.
**Topics**
## Configurazione GuardDuty dell'agente per un ambiente con più account
In un ambiente con più account, solo l'account GuardDuty amministratore delegato può abilitare o disabilitare la configurazione automatica degli agenti per gli account dei membri e gestire la configurazione automatizzata degli agenti per i cluster Amazon ECS che appartengono agli account dei membri della loro organizzazione. Un account GuardDuty membro non può modificare questa configurazione. L'account GuardDuty amministratore delegato gestisce i propri account membro utilizzando AWS Organizations. Per ulteriori informazioni sugli ambienti con più account, vedere [Gestione di più account](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html) in. GuardDuty
### Abilitazione della configurazione automatizzata degli agenti per l'account amministratore delegato GuardDuty
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Se hai scelto **Abilita per tutti gli account** per il monitoraggio del runtime, hai le seguenti opzioni:
+ Scegli **Abilita per tutti gli account** nella sezione Configurazione automatica dell'agente. GuardDuty distribuirà e gestirà l'agente di sicurezza per tutte le attività di Amazon ECS che verranno lanciate.
+ Scegli **Configura gli account manualmente**.
Se hai scelto **Configura gli account manualmente** nella sezione Runtime Monitoring, procedi come segue:
1. Scegli **Configura gli account manualmente** nella sezione Configurazione automatica degli agenti.
1. Scegli **Abilita** nella sezione **Account GuardDuty amministratore delegato (questo account)**.
Scegli **Save** (Salva).
Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione**, scegli **Abilita** nella configurazione automatizzata dell'agente.**
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente GuardDuty l'agente tramite la configurazione automatica degli agenti.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Attivazione automatica per tutti gli account dei membri
------
#### [ Manage for all Amazon ECS clusters (account level) ]
I passaggi seguenti presuppongono che tu abbia scelto **Abilita per tutti gli account** nella sezione Runtime Monitoring.
1. Scegli **Abilita per tutti gli account** nella sezione Configurazione automatica dell'agente. GuardDuty distribuirà e gestirà l'agente di sicurezza per tutte le attività di Amazon ECS che verranno lanciate.
1. Scegli **Save** (Salva).
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione, scegli Modifica**.**
1. Scegli **Abilita per tutti gli account** nella sezione **Configurazione automatica dell'agente**
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Indipendentemente da come scegli di abilitare il Runtime Monitoring, i seguenti passaggi ti aiuteranno a monitorare attività selettive di Amazon ECS Fargate per tutti gli account membri della tua organizzazione.
1. Non abilitare alcuna configurazione nella sezione Configurazione automatica dell'agente. Mantieni la configurazione di Runtime Monitoring uguale a quella selezionata nel passaggio precedente.
1. Scegli **Save** (Salva).
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la gestione **automatica degli GuardDuty agenti**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Abilitazione della configurazione automatica degli agenti per gli account dei membri attivi esistenti
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Nella pagina Runtime Monitoring, nella scheda **Configurazione**, è possibile visualizzare lo stato corrente della configurazione automatizzata dell'agente.
1. Nel riquadro di configurazione dell'agente automatizzato, nella sezione **Account membri attivi**, scegli **Azioni**.
1. Da **Operazioni**, scegli **Abilita per tutti gli account membri attivi esistenti**.
1. Scegli **Conferma**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione**, nella sezione Configurazione automatizzata dell'agente, in Account **membri attivi, scegli Azioni**.**
1. Da **Operazioni**, scegli **Abilita per tutti gli account membri attivi**.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Conferma**.
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la **configurazione degli agenti automatizzati**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Abilita automaticamente la configurazione automatizzata degli agenti per i nuovi membri
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Nella pagina Runtime Monitoring, scegli **Modifica** per aggiornare la configurazione esistente.
1. Nella sezione Configurazione automatizzata dell'agente, seleziona **Abilita automaticamente per nuovi account membro**.
1. Scegli **Save** (Salva).
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la configurazione automatizzata degli agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
**Nella scheda **Configurazione**, seleziona **Abilita automaticamente gli account dei nuovi membri** nella sezione Configurazione automatica degli agenti.**
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la **configurazione degli agenti automatizzati**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
### Abilitazione selettiva della configurazione automatizzata degli agenti per gli account dei membri attivi
------
#### [ Manage for all Amazon ECS (account level) ]
1. Nella pagina Account, selezionare gli account per i quali si desidera abilitare la configurazione dell'agente Runtime Monitoring-Automated (ECS-Fargate). È possibile selezionare più account. Assicurati che gli account selezionati in questo passaggio siano già abilitati con Runtime Monitoring.
1. Da **Modifica piani di protezione**, scegli l'opzione appropriata per abilitare la **configurazione automatica degli agenti di monitoraggio del runtime (ECS-Fargate**).
1. Scegli **Conferma**.
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Aggiungi un tag a questo cluster Amazon ECS con la coppia chiave-valore come -. `GuardDutyManaged` `false`
1. Impedisci la modifica dei tag, tranne che da parte delle entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Apri la GuardDuty console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Nel pannello di navigazione, scegli **Runtime Monitoring**.
1.
**Nota**
Aggiungi sempre il tag di esclusione ai tuoi cluster Amazon ECS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, il contenitore GuardDuty sidecar verrà collegato a tutti i contenitori delle attività di Amazon ECS che vengono lanciate.
Nella pagina Account, selezionare gli account per i quali si desidera abilitare la configurazione dell'agente Runtime Monitoring-Automated (ECS-Fargate). È possibile selezionare più account. Assicurati che gli account selezionati in questo passaggio siano già abilitati con Runtime Monitoring.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Da **Modifica piani di protezione**, scegli l'opzione appropriata per abilitare la **configurazione automatica degli agenti di monitoraggio del runtime (ECS-Fargate**).
1. Scegli **Save** (Salva).
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Assicurati di non abilitare la configurazione **automatizzata degli agenti (o la configurazione** degli **agenti automatizzati di Runtime Monitoring-ECS-Fargate)** per gli account selezionati che hanno i cluster Amazon ECS che desideri monitorare.
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**Nota**
Quando utilizzi tag di inclusione per i tuoi cluster Amazon ECS, non è necessario abilitare esplicitamente la **configurazione degli agenti automatizzati**.
1. Quando desideri GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.
------
## Configurazione dell' GuardDuty agente per un account autonomo
1. Accedi a Console di gestione AWS e apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Nel riquadro di navigazione, scegli **Runtime Monitoring**.
1. Nella scheda **Configurazione**:
1.
**Per gestire la configurazione automatizzata degli agenti per tutti i cluster Amazon ECS (a livello di account)**
Scegli **Abilita** nella sezione **Configurazione automatica dell'agente** per **AWS Fargate (solo ECS**). All'avvio di una nuova attività Fargate Amazon ECS, GuardDuty gestirà l'implementazione del security agent.
1. Scegli **Save** (Salva).
1.
**Per gestire la configurazione automatizzata degli agenti escludendo alcuni cluster Amazon ECS (a livello di cluster)**
1. Aggiungi un tag al cluster Amazon ECS per il quale desideri escludere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `false`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Nella scheda **Configurazione**, scegli **Abilita** nella sezione **Configurazione automatica dell'agente**.
**Nota**
Aggiungi sempre il tag di esclusione al tuo cluster Amazon ECS prima di abilitare la gestione automatica degli GuardDuty agenti per il tuo account; in caso contrario, l'agente di sicurezza verrà distribuito in tutte le attività avviate all'interno del cluster Amazon ECS corrispondente.
Per i cluster Amazon ECS che non sono stati esclusi, GuardDuty gestirà la distribuzione del security agent nel contenitore sidecar.
1. Scegli **Save** (Salva).
1.
**Per gestire la configurazione automatizzata degli agenti includendo alcuni cluster Amazon ECS (a livello di cluster)**
1. Aggiungi un tag a un cluster Amazon ECS per il quale desideri includere tutte le attività. La coppia chiave-valore deve essere -. `GuardDutyManaged` `true`
1. Impedisci la modifica di questi tag, tranne che da parte di entità attendibili. La politica fornita in [Impedisci che i tag vengano modificati se non in base ai principi autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) nella *Guida per l'AWS Organizations utente* è stata modificata per essere applicabile qui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Quando si desidera GuardDuty monitorare le attività che fanno parte di un servizio, è necessaria una nuova distribuzione del servizio dopo aver abilitato il Runtime Monitoring. Se l'ultima distribuzione per un servizio ECS specifico è stata avviata prima di abilitare il Runtime Monitoring, puoi riavviare il servizio o aggiornarlo utilizzando`forceNewDeployment`.
Per la procedura di aggiornamento del servizio, consulta le seguenti risorse:
+ [Aggiornamento di un servizio Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) nell'*Amazon Elastic Container Service Developer Guide*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)nel riferimento all'*API di riferimento di Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) nel *AWS CLI Command* Reference.