翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# マルチアカウント環境で Amazon EC2 リソースの GuardDuty エージェントを有効にする
<a name="manage-agent-ec2-multi-account-env"></a>

マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントに属するリソースタイプの自動エージェント設定を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「[複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。

## 委任 GuardDuty 管理者アカウントで有効にする
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Runtime Monitoring で **[すべてのアカウントで有効にする]** を選択した場合、委任 GuardDuty 管理者アカウントで次のいずれかのオプションを選択します。
+ **オプション 1**

  **[自動エージェント設定]** の **[EC2]** セクションで、**[すべてのアカウントで有効にする**] を選択します。
+ **オプション 2**
  + **[自動エージェント設定]** の **[EC2]** セクションで、**[アカウントを手動で設定する]** を選択します。
  + **[委任管理者 (このアカウント)]** で、**[有効にする]** を選択します。
+ **[保存]** を選択します。

Runtime Monitoring で **[アカウントを手動で設定する]** を選択した場合、次のステップを実行します。
+ **[自動エージェント設定]** の **[EC2]** セクションで、**[アカウントを手動で設定する]** を選択します。
+ **[委任管理者 (このアカウント)]** で、**[有効にする]** を選択します。
+ **[保存]** を選択します。

委任 GuardDuty 管理者アカウントの自動エージェント設定を有効にするためにどのオプションを選択したかに関係なく、GuardDuty が作成する SSM 関連付けがこのアカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。

1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。

1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。

------
#### [ Using inclusion tag in selected instances ]

**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

   このタグを追加すると、GuardDuty は選択した EC2 インスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要は**ありません**。

1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。

   [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。

   1. 作成される SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。

------
#### [ Using exclusion tag in selected instances ]

**注記**  
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。

**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

1. 

**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**

   1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。

      現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。

   1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。

   1. **[インスタンスメタデータ内のタグを許可する]** を選択します。

1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。

------

これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。

## すべてのメンバーアカウントの自動有効化
<a name="auto-enable-all-member-accounts"></a>

**注記**  
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。

------
#### [ Configure for all instances ]

以下のステップは、Runtime Monitoring セクションで **[すべてのアカウントで有効にする]** を選択したことを前提としています。

1. **[Amazon EC2]** の **[自動エージェント設定]** セクションで、**[すべてのアカウントで有効にする]** を選択します。

1. GuardDuty が作成する SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) が、このアカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。

   1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。

   1. SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。

------
#### [ Using inclusion tag in selected instances ]

**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたい EC2 インスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

   このタグを追加すると、GuardDuty は選択した EC2 インスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要は**ありません**。

1. GuardDuty が作成する SSM 関連付けが、アカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。

   1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。

   1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。

------
#### [ Using exclusion tag in selected instances ]

**注記**  
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。

**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

1. 

**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**

   1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。

      現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。

   1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。

   1. **[インスタンスメタデータ内のタグを許可する]** を選択します。

1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。

------

これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。

## 新しいメンバーアカウントでのみ自動的に有効にする
<a name="auto-enable-new-member-accounts"></a>

委任 GuardDuty 管理者アカウントは、Amazon EC2 リソースの自動エージェント設定を設定して、新しいメンバーアカウントが組織に加わるときに自動的に有効にできます。

------
#### [ Configure for all instances ]

次のステップでは、**[Runtime Monitoring]** セクションで、**[新しいメンバーアカウントで自動的に有効にする]** を選択した場合を前提としています。

1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。

1. **[Runtime Monitoring]** ページで、**[編集]** を選択します。

1. **[新しいメンバーアカウントについて自動的に有効にする]** を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントに対して Amazon EC2 の自動エージェント設定が自動的に有効になります。この選択を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。

1. **[保存]** を選択します。

新しいメンバーアカウントが組織に加わると、この設定が自動的に有効になります。GuardDuty がこの新しいメンバーアカウントに属する Amazon EC2 インスタンスのセキュリティエージェントを管理するには、「[EC2 インスタンスの場合](prereq-runtime-monitoring-ec2-support.md)」に記載されたすべての前提条件が満たされていることを確認してください。

SSM 関連付けが作成されると (`GuardDutyRuntimeMonitoring-do-not-delete`)、SSM 関連付けが新しいメンバーアカウントに属するすべての EC2 インスタンスにセキュリティエージェントをインストールおよび管理することを確認できます。
+ [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
+ SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。

------
#### [ Using inclusion tag in selected instances ]

**アカウント内の選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

   このタグを追加すると、GuardDuty は選択したインスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要はありません。

1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。

   1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。

   1. 作成される SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。

------
#### [ Using exclusion tag in selected instances ]

**注記**  
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。

**スタンドアロンアカウントの特定のインスタンスに GuardDuty セキュリティエージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

1. 

**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**

   1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。

      現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。

   1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。

   1. **[インスタンスメタデータ内のタグを許可する]** を選択します。

1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。

------

これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。

## 選択したメンバーアカウントのみ
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. **[アカウント]** ページで、**[Runtime Monitoring 自動エージェント設定 (Amazon EC2)]** を有効にする 1 つ以上のアカウントを選択します。このステップで選択したアカウントで Runtime Monitoring が既に有効になっていることを確認してください。

1. **[保護プランの編集]** から、適切なオプションを選択して **[Runtime Monitoring 自動エージェント設定 (Amazon EC2)]** を有効にします。

1. **[確認]** を選択します。

------
#### [ Using inclusion tag in selected instances ]

**選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

   このタグを追加すると、GuardDuty がタグ付けされた Amazon EC2 インスタンスのセキュリティエージェントを管理できるようになります。自動エージェント設定 **[Runtime Monitoring - 自動エージェント設定 (EC2)]** を明示的に有効にする必要はありません。

------
#### [ Using exclusion tag in selected instances ]

**注記**  
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。

**選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. GuardDuty に潜在的な脅威をモニタリングまたは検出**させたくない** EC2 インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。

1. 

**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**

   1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。

      現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。

   1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。

   1. **[インスタンスメタデータ内のタグを許可する]** を選択します。

1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。

------

これで、「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。