翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EC2 インスタンスの自動セキュリティエージェントの有効化
このセクションでは、スタンドアロンアカウントまたはマルチアカウント環境で Amazon EC2 リソースの GuardDuty 自動エージェントを有効にするステップについて説明します。
続行する前に、必ずすべての「[Amazon EC2 インスタンスサポートの前提条件](prereq-runtime-monitoring-ec2-support.md)」に従ってください。
GuardDuty エージェントの手動管理から GuardDuty 自動エージェントの有効化に移行する場合は、GuardDuty 自動エージェントを有効にするステップを実行する前に、「[Amazon EC2 手動エージェントから自動エージェントへの移行](migrate-from-ec2-manual-to-automated-agent.md)」を参照してください。
# マルチアカウント環境で Amazon EC2 リソースの GuardDuty エージェントを有効にする
マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントに属するリソースタイプの自動エージェント設定を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「[複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。
## 委任 GuardDuty 管理者アカウントで有効にする
------
#### [ Configure for all instances ]
Runtime Monitoring で **[すべてのアカウントで有効にする]** を選択した場合、委任 GuardDuty 管理者アカウントで次のいずれかのオプションを選択します。
+ **オプション 1**
**[自動エージェント設定]** の **[EC2]** セクションで、**[すべてのアカウントで有効にする**] を選択します。
+ **オプション 2**
+ **[自動エージェント設定]** の **[EC2]** セクションで、**[アカウントを手動で設定する]** を選択します。
+ **[委任管理者 (このアカウント)]** で、**[有効にする]** を選択します。
+ **[保存]** を選択します。
Runtime Monitoring で **[アカウントを手動で設定する]** を選択した場合、次のステップを実行します。
+ **[自動エージェント設定]** の **[EC2]** セクションで、**[アカウントを手動で設定する]** を選択します。
+ **[委任管理者 (このアカウント)]** で、**[有効にする]** を選択します。
+ **[保存]** を選択します。
委任 GuardDuty 管理者アカウントの自動エージェント設定を有効にするためにどのオプションを選択したかに関係なく、GuardDuty が作成する SSM 関連付けがこのアカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty は選択した EC2 インスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要は**ありません**。
1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。
[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. 作成される SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
## すべてのメンバーアカウントの自動有効化
**注記**
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
------
#### [ Configure for all instances ]
以下のステップは、Runtime Monitoring セクションで **[すべてのアカウントで有効にする]** を選択したことを前提としています。
1. **[Amazon EC2]** の **[自動エージェント設定]** セクションで、**[すべてのアカウントで有効にする]** を選択します。
1. GuardDuty が作成する SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) が、このアカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたい EC2 インスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty は選択した EC2 インスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要は**ありません**。
1. GuardDuty が作成する SSM 関連付けが、アカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
## 新しいメンバーアカウントでのみ自動的に有効にする
委任 GuardDuty 管理者アカウントは、Amazon EC2 リソースの自動エージェント設定を設定して、新しいメンバーアカウントが組織に加わるときに自動的に有効にできます。
------
#### [ Configure for all instances ]
次のステップでは、**[Runtime Monitoring]** セクションで、**[新しいメンバーアカウントで自動的に有効にする]** を選択した場合を前提としています。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1. **[Runtime Monitoring]** ページで、**[編集]** を選択します。
1. **[新しいメンバーアカウントについて自動的に有効にする]** を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントに対して Amazon EC2 の自動エージェント設定が自動的に有効になります。この選択を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。
1. **[保存]** を選択します。
新しいメンバーアカウントが組織に加わると、この設定が自動的に有効になります。GuardDuty がこの新しいメンバーアカウントに属する Amazon EC2 インスタンスのセキュリティエージェントを管理するには、「[EC2 インスタンスの場合](prereq-runtime-monitoring-ec2-support.md)」に記載されたすべての前提条件が満たされていることを確認してください。
SSM 関連付けが作成されると (`GuardDutyRuntimeMonitoring-do-not-delete`)、SSM 関連付けが新しいメンバーアカウントに属するすべての EC2 インスタンスにセキュリティエージェントをインストールおよび管理することを確認できます。
+ [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
+ SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**アカウント内の選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty は選択したインスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要はありません。
1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. 作成される SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**スタンドアロンアカウントの特定のインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
## 選択したメンバーアカウントのみ
------
#### [ Configure for all instances ]
1. **[アカウント]** ページで、**[Runtime Monitoring 自動エージェント設定 (Amazon EC2)]** を有効にする 1 つ以上のアカウントを選択します。このステップで選択したアカウントで Runtime Monitoring が既に有効になっていることを確認してください。
1. **[保護プランの編集]** から、適切なオプションを選択して **[Runtime Monitoring 自動エージェント設定 (Amazon EC2)]** を有効にします。
1. **[確認]** を選択します。
------
#### [ Using inclusion tag in selected instances ]
**選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty がタグ付けされた Amazon EC2 インスタンスのセキュリティエージェントを管理できるようになります。自動エージェント設定 **[Runtime Monitoring - 自動エージェント設定 (EC2)]** を明示的に有効にする必要はありません。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングまたは検出**させたくない** EC2 インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これで、「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
# スタンドアロンアカウントで Amazon EC2 リソースの GuardDuty 自動エージェントを有効にする
スタンドアロンアカウントは、特定の の で保護プランを有効または無効にする決定を所有 AWS アカウント します AWS リージョン。
アカウントが を通じて AWS Organizations、または招待方法によって GuardDuty 管理者アカウントに関連付けられている場合、このセクションはアカウントには適用されません。詳細については、「[マルチアカウント環境の Runtime Monitoring の有効化](enable-runtime-monitoring-multiple-acc-env.md)」を参照してください。
Runtime Monitoring を有効にした後、自動設定または手動デプロイを使用して GuardDuty セキュリティエージェントをインストールしてください。次の手順に記載されたすべてのステップを完了する一環として、セキュリティエージェントをインストールしてください。
すべての Amazon EC2 リソースをモニタリングするか、選択した Amazon EC2 リソースをモニタリングするかに応じて、任意の方法を選択し、次の表のステップに従います。
------
#### [ Configure for all instances ]
**スタンドアロンアカウント内のすべてのインスタンスで Runtime Monitoring を設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1. **[設定]** タブで、**[編集]** を選択します。
1. **[EC2]** セクションで **[有効にする]** を選択します。
1. **[保存]** を選択します。
1. GuardDuty が作成する SSM 関連付けが、アカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。
[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. 作成される SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. タグを許可するインスタンスを選択します。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. **[インスタンスメタデータのタグへのアクセス]** で **[許可する]** を選択します。
1. **[保存]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
# Amazon EC2 手動エージェントから自動エージェントへの移行
このセクションは、 AWS アカウント 以前にセキュリティエージェントを手動で管理していて、GuardDuty 自動エージェント設定を使用する場合に適用されます。これに該当しない場合は、アカウントのセキュリティエージェントの設定を続行します。
GuardDuty 自動エージェントを有効にすると、GuardDuty はユーザーに代わってセキュリティエージェントを管理します。GuardDuty が実行するステップについては、「[自動エージェント設定を使用する (推奨)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2)」を参照してください。
## リソースをクリーンアップする
**SSM 関連付けの削除**
+ Amazon EC2 のセキュリティエージェントを手動で管理するときに作成した SSM 関連付けを削除します。詳細については、「[関連付けを削除する](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html)」を参照してください。
+ これは、アカウントレベルまたはインスタンスレベルで (包含タグまたは除外タグを使用して) 自動エージェントを使用するかどうかにかかわらず、GuardDuty が SSM アクションの管理を引き継ぐことができるようにするために行われます。GuardDuty が実行できる SSM アクションの詳細については、「[GuardDuty のためのサービスにリンクされたロールの許可](slr-permissions.md)」を参照してください。
+ セキュリティエージェントを手動で管理するために以前作成された SSM 関連付けを削除すると、GuardDuty がセキュリティエージェントを自動的に管理するための SSM 関連付けを作成するときに、短時間の重複が発生する場合があります。この期間中、SSM スケジューリングに基づいて競合が発生する可能性があります。詳細については、[Amazon EC2 SSM のスケジューリング](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html)に関するページを参照してください。
**Amazon EC2 インスタンスの包含タグと除外タグを管理する**
+ **包含タグ** – GuardDuty 自動エージェント設定を有効にせず、Amazon EC2 インスタンスに包含タグ (`GuardDutyManaged`:`true`) をタグ付けすると、GuardDuty は、選択した EC2 インスタンスにセキュリティエージェントをインストールおよび管理する SSM 関連付けを作成します。これは、選択した EC2 インスタンスでのみセキュリティエージェントを管理するのに役立つ正常な動作です。詳細については、「[Amazon EC2 インスタンスでの Runtime Monitoring の仕組み](how-runtime-monitoring-works-ec2.md)」を参照してください。
GuardDuty がセキュリティエージェントをインストールおよび管理できないようにするには、これらの EC2 インスタンスから包含タグを削除します。詳細については、「*Amazon EC2 ユーザーガイド*」の[タグの追加と削除](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
+ **除外タグ** – アカウント内のすべての EC2 インスタンスで GuardDuty 自動エージェント設定を有効にする場合は、EC2 インスタンスに除外タグ (`GuardDutyManaged`:`false`) がタグ付けされていないことを確認してください。