翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# GuardDuty セキュリティエージェントの管理
監視したいリソースの GuardDuty セキュリティエージェントを管理できます。複数のリソースタイプを監視したい場合は、必ずそのリソースの GuardDuty エージェントを管理してください。
以下のトピックは、セキュリティエージェントを管理する次の手順に役立ちます。
**Topics**
+ [Amazon EC2 インスタンスの自動セキュリティエージェントの有効化](managing-gdu-agent-ec2-automated.md)
+ [Amazon EC2 リソースのセキュリティエージェントの手動管理](managing-gdu-agent-ec2-manually.md)
+ [Fargate の自動セキュリティエージェントの管理 (Amazon ECS のみ)](managing-gdu-agent-ecs-automated.md)
+ [Amazon EKS リソースのセキュリティエージェントの自動管理](managing-gdu-agent-eks-automatically.md)
+ [Amazon EKS クラスターのセキュリティエージェントの手動管理](managing-gdu-agent-eks-manually.md)
+ [Amazon EKS の GuardDuty セキュリティエージェント (アドオン) パラメータを設定する](guardduty-configure-security-agent-eks-addon.md)
+ [VPC エンドポイント設定の検証](validate-vpc-endpoint-config-runtime-monitoring.md)
# Amazon EC2 インスタンスの自動セキュリティエージェントの有効化
このセクションでは、スタンドアロンアカウントまたはマルチアカウント環境で Amazon EC2 リソースの GuardDuty 自動エージェントを有効にするステップについて説明します。
続行する前に、必ずすべての「[Amazon EC2 インスタンスサポートの前提条件](prereq-runtime-monitoring-ec2-support.md)」に従ってください。
GuardDuty エージェントの手動管理から GuardDuty 自動エージェントの有効化に移行する場合は、GuardDuty 自動エージェントを有効にするステップを実行する前に、「[Amazon EC2 手動エージェントから自動エージェントへの移行](migrate-from-ec2-manual-to-automated-agent.md)」を参照してください。
# マルチアカウント環境で Amazon EC2 リソースの GuardDuty エージェントを有効にする
マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントに属するリソースタイプの自動エージェント設定を有効または無効にできます。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「[複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。
## 委任 GuardDuty 管理者アカウントで有効にする
------
#### [ Configure for all instances ]
Runtime Monitoring で **[すべてのアカウントで有効にする]** を選択した場合、委任 GuardDuty 管理者アカウントで次のいずれかのオプションを選択します。
+ **オプション 1**
**[自動エージェント設定]** の **[EC2]** セクションで、**[すべてのアカウントで有効にする**] を選択します。
+ **オプション 2**
+ **[自動エージェント設定]** の **[EC2]** セクションで、**[アカウントを手動で設定する]** を選択します。
+ **[委任管理者 (このアカウント)]** で、**[有効にする]** を選択します。
+ **[保存]** を選択します。
Runtime Monitoring で **[アカウントを手動で設定する]** を選択した場合、次のステップを実行します。
+ **[自動エージェント設定]** の **[EC2]** セクションで、**[アカウントを手動で設定する]** を選択します。
+ **[委任管理者 (このアカウント)]** で、**[有効にする]** を選択します。
+ **[保存]** を選択します。
委任 GuardDuty 管理者アカウントの自動エージェント設定を有効にするためにどのオプションを選択したかに関係なく、GuardDuty が作成する SSM 関連付けがこのアカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty は選択した EC2 インスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要は**ありません**。
1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。
[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. 作成される SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
## すべてのメンバーアカウントの自動有効化
**注記**
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
------
#### [ Configure for all instances ]
以下のステップは、Runtime Monitoring セクションで **[すべてのアカウントで有効にする]** を選択したことを前提としています。
1. **[Amazon EC2]** の **[自動エージェント設定]** セクションで、**[すべてのアカウントで有効にする]** を選択します。
1. GuardDuty が作成する SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) が、このアカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**選択した Amazon EC2 インスタンスに GuardDuty エージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたい EC2 インスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty は選択した EC2 インスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要は**ありません**。
1. GuardDuty が作成する SSM 関連付けが、アカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
## 新しいメンバーアカウントでのみ自動的に有効にする
委任 GuardDuty 管理者アカウントは、Amazon EC2 リソースの自動エージェント設定を設定して、新しいメンバーアカウントが組織に加わるときに自動的に有効にできます。
------
#### [ Configure for all instances ]
次のステップでは、**[Runtime Monitoring]** セクションで、**[新しいメンバーアカウントで自動的に有効にする]** を選択した場合を前提としています。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1. **[Runtime Monitoring]** ページで、**[編集]** を選択します。
1. **[新しいメンバーアカウントについて自動的に有効にする]** を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントに対して Amazon EC2 の自動エージェント設定が自動的に有効になります。この選択を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。
1. **[保存]** を選択します。
新しいメンバーアカウントが組織に加わると、この設定が自動的に有効になります。GuardDuty がこの新しいメンバーアカウントに属する Amazon EC2 インスタンスのセキュリティエージェントを管理するには、「[EC2 インスタンスの場合](prereq-runtime-monitoring-ec2-support.md)」に記載されたすべての前提条件が満たされていることを確認してください。
SSM 関連付けが作成されると (`GuardDutyRuntimeMonitoring-do-not-delete`)、SSM 関連付けが新しいメンバーアカウントに属するすべての EC2 インスタンスにセキュリティエージェントをインストールおよび管理することを確認できます。
+ [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
+ SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**アカウント内の選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty は選択したインスタンスに対してセキュリティエージェントをインストールおよび管理できます。自動エージェント設定を明示的に有効にする必要はありません。
1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. 作成される SSM 関連付けの **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**スタンドアロンアカウントの特定のインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
## 選択したメンバーアカウントのみ
------
#### [ Configure for all instances ]
1. **[アカウント]** ページで、**[Runtime Monitoring 自動エージェント設定 (Amazon EC2)]** を有効にする 1 つ以上のアカウントを選択します。このステップで選択したアカウントで Runtime Monitoring が既に有効になっていることを確認してください。
1. **[保護プランの編集]** から、適切なオプションを選択して **[Runtime Monitoring 自動エージェント設定 (Amazon EC2)]** を有効にします。
1. **[確認]** を選択します。
------
#### [ Using inclusion tag in selected instances ]
**選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
このタグを追加すると、GuardDuty がタグ付けされた Amazon EC2 インスタンスのセキュリティエージェントを管理できるようになります。自動エージェント設定 **[Runtime Monitoring - 自動エージェント設定 (EC2)]** を明示的に有効にする必要はありません。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択したインスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングまたは検出**させたくない** EC2 インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これで、「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
# スタンドアロンアカウントで Amazon EC2 リソースの GuardDuty 自動エージェントを有効にする
スタンドアロンアカウントは、特定の の で保護プランを有効または無効にする決定を所有 AWS アカウント します AWS リージョン。
アカウントが を通じて AWS Organizations、または招待方法によって GuardDuty 管理者アカウントに関連付けられている場合、このセクションはアカウントには適用されません。詳細については、「[マルチアカウント環境の Runtime Monitoring の有効化](enable-runtime-monitoring-multiple-acc-env.md)」を参照してください。
Runtime Monitoring を有効にした後、自動設定または手動デプロイを使用して GuardDuty セキュリティエージェントをインストールしてください。次の手順に記載されたすべてのステップを完了する一環として、セキュリティエージェントをインストールしてください。
すべての Amazon EC2 リソースをモニタリングするか、選択した Amazon EC2 リソースをモニタリングするかに応じて、任意の方法を選択し、次の表のステップに従います。
------
#### [ Configure for all instances ]
**スタンドアロンアカウント内のすべてのインスタンスで Runtime Monitoring を設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1. **[設定]** タブで、**[編集]** を選択します。
1. **[EC2]** セクションで **[有効にする]** を選択します。
1. **[保存]** を選択します。
1. GuardDuty が作成する SSM 関連付けが、アカウントに属するすべての EC2 リソースにセキュリティエージェントをインストールおよび管理することを確認できます。
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** が **[InstanceIds]** として表示されることを確認します。
------
#### [ Using inclusion tag in selected instances ]
**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出させたいインスタンスに `GuardDutyManaged`:`true` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1. GuardDuty が作成する SSM 関連付けが、包含タグでタグ付けされた EC2 リソースにのみセキュリティエージェントをインストールおよび管理することを確認できます。
[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. 作成される SSM 関連付け (`GuardDutyRuntimeMonitoring-do-not-delete`) の **[ターゲット]** タブを開きます。**[タグキー]** は **[tag:GuardDutyManaged]** として表示されます。
------
#### [ Using exclusion tag in selected instances ]
**注記**
Amazon EC2 インスタンスを起動する前に、必ず除外タグを追加してください。Amazon EC2 の自動エージェント設定を有効にすると、除外タグなしで起動する EC2 インスタンスは、GuardDuty 自動エージェント設定の対象となります。
**選択した Amazon EC2 インスタンスに GuardDuty セキュリティエージェントを設定するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。
1. GuardDuty に潜在的な脅威をモニタリングおよび検出**させたくない**インスタンスに `GuardDutyManaged`:`false` タグを追加します。このタグの追加については、[タグを個々のリソースに追加する方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
1.
**インスタンスメタデータで[除外タグを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2)には、次のステップを実行します。**
1. インスタンスの **[詳細]** タブで、**[インスタンスメタデータ内のタグを許可する]** のステータスを表示します。
現在 **[無効]** になっている場合は、次のステップを使用してステータスを **[有効]** に変更します。それ以外の場合は、この手順をスキップしてください。
1. タグを許可するインスタンスを選択します。
1. **[アクション]** メニューで、**[インスタンス設定]** を選択します。
1. **[インスタンスメタデータ内のタグを許可する]** を選択します。
1. **[インスタンスメタデータのタグへのアクセス]** で **[許可する]** を選択します。
1. **[保存]** を選択します。
1. 除外タグを追加した後、**すべてのインスタンスの設定**タブに記載されているのと同じステップを実行します。
------
これでランタイム「[Amazon EC2 インスタンスのランタイムカバレッジとトラブルシューティング](gdu-assess-coverage-ec2.md)」を評価できるようになりました。
# Amazon EC2 手動エージェントから自動エージェントへの移行
このセクションは、 AWS アカウント 以前にセキュリティエージェントを手動で管理していて、GuardDuty 自動エージェント設定を使用する場合に適用されます。これに該当しない場合は、アカウントのセキュリティエージェントの設定を続行します。
GuardDuty 自動エージェントを有効にすると、GuardDuty はユーザーに代わってセキュリティエージェントを管理します。GuardDuty が実行するステップについては、「[自動エージェント設定を使用する (推奨)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2)」を参照してください。
## リソースをクリーンアップする
**SSM 関連付けの削除**
+ Amazon EC2 のセキュリティエージェントを手動で管理するときに作成した SSM 関連付けを削除します。詳細については、「[関連付けを削除する](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html)」を参照してください。
+ これは、アカウントレベルまたはインスタンスレベルで (包含タグまたは除外タグを使用して) 自動エージェントを使用するかどうかにかかわらず、GuardDuty が SSM アクションの管理を引き継ぐことができるようにするために行われます。GuardDuty が実行できる SSM アクションの詳細については、「[GuardDuty のためのサービスにリンクされたロールの許可](slr-permissions.md)」を参照してください。
+ セキュリティエージェントを手動で管理するために以前作成された SSM 関連付けを削除すると、GuardDuty がセキュリティエージェントを自動的に管理するための SSM 関連付けを作成するときに、短時間の重複が発生する場合があります。この期間中、SSM スケジューリングに基づいて競合が発生する可能性があります。詳細については、[Amazon EC2 SSM のスケジューリング](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html)に関するページを参照してください。
**Amazon EC2 インスタンスの包含タグと除外タグを管理する**
+ **包含タグ** – GuardDuty 自動エージェント設定を有効にせず、Amazon EC2 インスタンスに包含タグ (`GuardDutyManaged`:`true`) をタグ付けすると、GuardDuty は、選択した EC2 インスタンスにセキュリティエージェントをインストールおよび管理する SSM 関連付けを作成します。これは、選択した EC2 インスタンスでのみセキュリティエージェントを管理するのに役立つ正常な動作です。詳細については、「[Amazon EC2 インスタンスでの Runtime Monitoring の仕組み](how-runtime-monitoring-works-ec2.md)」を参照してください。
GuardDuty がセキュリティエージェントをインストールおよび管理できないようにするには、これらの EC2 インスタンスから包含タグを削除します。詳細については、「*Amazon EC2 ユーザーガイド*」の[タグの追加と削除](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)に関するページを参照してください。
+ **除外タグ** – アカウント内のすべての EC2 インスタンスで GuardDuty 自動エージェント設定を有効にする場合は、EC2 インスタンスに除外タグ (`GuardDutyManaged`:`false`) がタグ付けされていないことを確認してください。
# Amazon EC2 リソースのセキュリティエージェントの手動管理
このセクションでは、Amazon EC2 リソースのセキュリティエージェントを手動でインストールおよび更新するステップについて説明します。
Runtime Monitoring を有効にしたら、GuardDuty セキュリティエージェントを手動でインストールする必要があります。GuardDuty セキュリティエージェントを手動で管理するには、まず Amazon VPC エンドポイントを手動で作成する必要があります。その後、GuardDuty が Amazon EC2 インスタンスからランタイムイベントを受信し始めるように、セキュリティエージェントをインストールできます。GuardDuty がこのリソースの新しいエージェントバージョンをリリースすると、アカウントでエージェントバージョンを更新できます。
以下のトピックでは、Amazon EC2 リソースのセキュリティエージェントを継続的に管理するステップについて説明します。
**Topics**
+ [前提条件 - Amazon VPC エンドポイントの手動作成](creating-vpc-endpoint-ec2-agent-manually.md)
+ [セキュリティエージェントの手動インストール](installing-gdu-security-agent-ec2-manually.md)
+ [Amazon EC2 インスタンスの GuardDuty セキュリティエージェントの手動更新](gdu-update-security-agent-ec2.md)
# 前提条件 - Amazon VPC エンドポイントの手動作成
GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EC2 インスタンスのランタイムイベントを受信できるようになります。
**注記**
VPC エンドポイントの使用に追加コストはかかりません。
**Amazon VPC エンドポイントを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインの **[VPC プライベートクラウド]** で、**[エンドポイント]** を選択します。
1. **[エンドポイントの作成]** を選択します。
1. **[エンドポイントの作成]** ページの **[サービスカテゴリ]** で **[その他のエンドポイントサービス**] を選択します。
1. **[サービス名]** に **com.amazonaws.*us-east-1*.guardduty-data** と入力します。
必ず「*us-east-1*」をあなたの AWS リージョンに置き換えてください。これは、 AWS アカウント ID に属する Amazon EC2 インスタンスと同じリージョンである必要があります。
1. **[サービスの確認]** を選択します。
1. サービス名が正常に確認されたら、インスタンスが置かれている **[VPC]** を選択します。次のポリシーを追加して、Amazon VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 `Condition` を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に Amazon VPC エンドポイントサポートを提供するには、「[Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
`aws:PrincipalAccount` アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント IDs と共有する方法を示しています。
+ VPC エンドポイントにアクセスする複数のアカウントを指定するには、`"aws:PrincipalAccount: "111122223333"`を以下のブロックに置き換えます。
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
AWS アカウント IDs は、VPC エンドポイントにアクセスする必要があるアカウントのアカウント IDs に置き換えてください。
+ 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、`"aws:PrincipalAccount: "111122223333"` を以下のラインに置き換えます。
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
組織「*o-abcdef0123*」は必ず自分の組織 ID に置き換えてください。
+ リソースへのアクセスを組織 ID で制限するには、`ResourceOrgID` をポリシーに追加します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)」の「*`aws:ResourceOrgID`*」を参照してください。
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. **[追加設定]** で **[DNS 名を有効にする]** を選択します。
1. **[サブネット]** で、インスタンスが存在するサブネットを選択します。
1. **[セキュリティグループ]** で、VPC (または Amazon EC2 インスタンス) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、「*Amazon VPC ユーザーガイド*」の「[VPC 用のセキュリティグループを作成するには](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)」を参照してください。
VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス `(0.0.0.0/0)` からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC CIDR ブロック](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)」を参照してください。
ステップに従った後、「[VPC エンドポイント設定の検証](validate-vpc-endpoint-config-runtime-monitoring.md)」を参照して、VPC エンドポイントが正しく設定されていることを確認します。
# セキュリティエージェントの手動インストール
GuardDuty には、Amazon EC2 インスタンスに GuardDuty セキュリティエージェントをインストールするための次の 2 つの方法が用意されています。続行する前に、「[前提条件 - Amazon VPC エンドポイントの手動作成](creating-vpc-endpoint-ec2-agent-manually.md)」のステップに従ってください。
Amazon EC2 リソースにセキュリティエージェントをインストールする優先アクセス方法を選択します。
+ [方法 1 - の使用 AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring) – この方法では、Amazon EC2 インスタンス AWS Systems Manager を管理する必要があります。
+ [方法 2 - Linux パッケージマネージャーを使用する](#install-gdu-by-rpm-scripts-runtime-monitoring) – Amazon EC2 インスタンスが AWS Systems Manager 管理されているかどうかにかかわらず、この方法を使用できます。[OS ディストリビューション](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2)に応じて、RPM スクリプトまたは Debian スクリプトのいずれかをインストールする適切な方法を選択できます。*Fedora* プラットフォームを使用する場合は、この方法を使用してエージェントをインストールする必要があります。
## 方法 1 - の使用 AWS Systems Manager
この方法を使用するには、Amazon EC2 インスタンスが AWS Systems Manager 管理されていることを確認し、エージェントをインストールします。
### AWS Systems Manager マネージド Amazon EC2 インスタンス
Amazon EC2 インスタンスを AWS Systems Manager マネージドにするには、次のステップを実行します。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) は、 AWS アプリケーションとリソースをend-to-endで管理し、安全なオペレーションを大規模に有効にするのに役立ちます。
で Amazon EC2 インスタンスを管理するには AWS Systems Manager、 *AWS Systems Manager ユーザーガイド*の[Amazon EC2 インスタンス用の Systems Manager のセットアップ](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html)」を参照してください。
+ 次の表に、新しい GuardDuty 管理 AWS Systems Manager ドキュメントを示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
詳細については AWS Systems Manager、「 *AWS Systems Manager ユーザーガイド*」の[Amazon EC2 Systems Manager ドキュメント](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html)」を参照してください。
**Debian サーバーの場合**
が提供する AWS Debian サーバー用の Amazon マシンイメージ (AMIs) では、 AWS Systems Manager エージェント (SSM エージェント) をインストールする必要があります。Amazon EC2 Debian サーバーインスタンスを SSM マネージドにするには、SSM エージェントをインストールするための追加のステップを実行する必要があります。必要なステップについては、「*AWS Systems Manager ユーザーガイド*」の「[Debian サーバーインスタンスに SSM Agent を手動でインストールする](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html)」を参照してください。
**を使用して Amazon EC2 インスタンス用の GuardDuty エージェントをインストールするには AWS Systems Manager**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) で AWS Systems Manager コンソールを開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. **[Amazon が所有]** で、`AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin` を選択します。
1. **[Run Command]** を選択します。
1. 次の Run Command パラメータを入力します。
+ アクション: **[インストール]** を選択します。
+ インストールのタイプ: **[インストール] または [アンインストール]** を選択します。
+ 名前: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
+ バージョン:これが空のままの場合は、最新バージョンの GuardDuty セキュリティエージェントが取得されます。リリースバージョンの詳細については、「[Amazon EC2 インスタンス用の GuardDuty セキュリティエージェントバージョン](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history)」を参照してください。
1. 対象の Amazon EC2 インスタンス を選択します。複数の Amazon EC2 インスタンスを選択できます。詳細については、「*AWS Systems Manager ユーザーガイド*」の「[AWS Systems Manager コンソールからコマンドを実行する](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html)」を参照してください
1. GuardDuty エージェントが正常にインストールされているかどうかを検証します。詳細については、「[GuardDuty セキュリティエージェントのインストールステータスの検証](#validate-ec2-gdu-agent-installation-healthy)」を参照してください。
## 方法 2 - Linux パッケージマネージャーを使用する
この方法では、RPM スクリプトまたは Debian スクリプトを実行して、GuardDuty セキュリティエージェントをインストールできます。オペレーティングシステムに応じて、任意の方法を選択できます。
+ RPM スクリプトを使用して、OS ディストリビューション AL2、AL2023、RedHat、CentOS,または Fedora にセキュリティエージェントをインストールします。
+ Debian スクリプトを使用して、OS ディストリビューション Ubuntu または Debian にセキュリティエージェントをインストールします。サポートされている Ubuntu および Debian OS ディストリビューションの詳細については、「[アーキテクチャ要件を検証する](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2)」を参照してください。
------
#### [ RPM installation ]
**重要**
GuardDuty セキュリティエージェントの RPM 署名をマシンにインストールする前に検証することをお勧めします。
1. GuardDuty セキュリティエージェントの RPM 署名の検証
1.
**テンプレートを準備する**
適切なパブリックキー、x86\$164 RPM の署名、arm64 RPM の署名、および Amazon S3 バケットでホストされている RPM スクリプトへの対応するアクセスリンクを使用してコマンドを準備します。RPM スクリプトにアクセスするには AWS リージョン、、 AWS アカウント ID、および GuardDuty エージェントバージョンの値を置き換えます。
+ **パブリックキー** :
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty セキュリティエージェントの RPM 署名** :
x86\$164 RPM の署名
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
```
arm64 RPM の署名
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Amazon S3 バケット内の RPM スクリプトへのアクセスリンク**:
x86\$164 RPM 用アクセスリンク
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
```
arm64 RPM 用アクセスリンク
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**テンプレートをダウンロードする**
次のコマンドで、適切なパブリックキー、x86\$164 RPM の署名、arm64 RPM の署名、Amazon S3 バケットでホストされている RPM スクリプトへの対応するアクセスリンクをダウンロードするには、アカウント ID を適切な AWS アカウント ID に、リージョンを現在のリージョンに置き換えてください。
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1.
**パブリックキーをインポートする**
次のコマンドを使用して、パブリックキーをデータベースにインポートします。
```
gpg --import publickey.pem
```
gpg はインポートの成功を示しています。
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1.
**署名を検証する**
次のコマンドを使用して、署名を確認します。
```
gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
```
検証に成功すると、次の結果のようなメッセージが表示されます。これで、RPM を使用して GuardDuty セキュリティエージェントをインストールできます。
出力例:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
検証に失敗した場合は、RPM の署名が改ざんされている可能性があることを意味します。パブリックキーをデータベースから削除して、検証プロセスを再試行する必要があります。
例:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
次のコマンドを使用して、データベースからパブリックキーを削除します。
```
gpg --delete-keys AwsGuardDuty
```
次に、検証プロセスを再試行します。
1. 「[Linux または macOS から SSH で接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)」。
1. 次のコマンドを使用して GuardDuty セキュリティエージェントをインストールします。
```
sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
```
1. GuardDuty エージェントが正常にインストールされているかどうかを検証します。これらの手順の詳細については、「[GuardDuty セキュリティエージェントのインストールステータスの検証](#validate-ec2-gdu-agent-installation-healthy)」を参照してください。
------
#### [ Debian installation ]
**重要**
GuardDuty セキュリティエージェントの Debian 署名をマシンにインストールする前に検証することをお勧めします。
1. GuardDuty セキュリティエージェントの Debian 署名の検証
1.
**適切なパブリックキー、amd64 Debian パッケージの署名、arm64 Debian パッケージの署名、および Amazon S3 バケットでホストされている Debian スクリプトへの対応するアクセスリンク用のテンプレートを準備する**
次のテンプレートで、 AWS リージョン、 AWS アカウント ID、および GuardDuty エージェントバージョンの値を置き換えて、Debian パッケージスクリプトにアクセスします。
+ **パブリックキー** :
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty セキュリティエージェントの Debian 署名**:
amd64 の署名
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
```
arm64 の署名
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Amazon S3 バケット内の Debian スクリプトへのアクセスリンク**:
amd64 のアクセスリンク
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
```
arm64 のアクセスリンク
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**適切なパブリックキー、amd64 の署名、arm64 の署名、および Amazon S3 バケットでホストされている Debian スクリプトへの対応するアクセスリンクをダウンロードしてください**
次のコマンドでは、アカウント ID を適切な AWS アカウント ID に置き換え、リージョンを現在のリージョンに置き換えます。
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1. プライベートキーをデータベースにインポートします。
```
gpg --import publickey.pem
```
gpg はインポートの成功を示しています。
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1. 署名を検証する
```
gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
```
検証が成功すると、次の結果のようなメッセージが表示されます。
出力例:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
これで、Debian を使用して GuardDuty セキュリティエージェントをインストールできます。
ただし、検証が失敗した場合は、Debian パッケージの署名が改ざんされている可能性があることを意味します。
例:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
次のコマンドを使用して、データベースからパブリックキーを削除します。
```
gpg --delete-keys AwsGuardDuty
```
次に、検証プロセスを再試行します。
1. 「[Linux または macOS から SSH で接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)」。
1. 次のコマンドを使用して GuardDuty セキュリティエージェントをインストールします。
```
sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
```
1. GuardDuty エージェントが正常にインストールされているかどうかを検証します。これらの手順の詳細については、「[GuardDuty セキュリティエージェントのインストールステータスの検証](#validate-ec2-gdu-agent-installation-healthy)」を参照してください。
------
## メモリ不足エラー
Amazon EC2 の GuardDuty セキュリティエージェントを手動でインストールまたは更新するときに `out-of-memory` エラーが発生した場合は、「[メモリ不足の問題のトラブルシューティング](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error)」を参照してください。
## GuardDuty セキュリティエージェントのインストールステータスの検証
GuardDuty セキュリティエージェントをインストールするステップを実行した後、次のステップを使用してエージェントのステータスを検証します。
**GuardDuty セキュリティエージェントが正常であるかを検証するには**
1. 「[Linux または macOS から SSH で接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)」。
1. 次のコマンドを実行して、GuardDuty セキュリティエージェントのステータスを確認します。
```
sudo systemctl status amazon-guardduty-agent
```
セキュリティエージェントのインストールログを表示する場合は、`/var/log/amzn-guardduty-agent/` で確認できます。
ログを表示するには、`sudo journalctl -u amazon-guardduty-agent` を実行します。
# Amazon EC2 インスタンスの GuardDuty セキュリティエージェントの手動更新
GuardDuty は、セキュリティエージェントバージョンの更新をリリースします。セキュリティエージェントを手動で管理する場合、Amazon EC2 インスタンスのエージェントを更新する責任がユーザーにあります。新しいエージェントバージョンについては、Amazon EC2 インスタンスの「[GuardDuty セキュリティエージェントのリリースバージョン](runtime-monitoring-agent-release-history.md)」を参照してください。新しいエージェントバージョンリリースに関する通知を受け取るには、「[Amazon SNS GuardDuty のお知らせへのサブスクライブ](guardduty_sns.md)」を参照してください。
**Amazon EC2 インスタンスのセキュリティエージェントを手動で更新するには**
セキュリティエージェントを更新するプロセスは、セキュリティエージェントをインストールするプロセスと同じです。エージェントのインストールに使用した方法に応じて、Amazon EC2 インスタンスの「[セキュリティエージェントの手動インストール](installing-gdu-security-agent-ec2-manually.md)」のステップを実行できます。
[方法 1 を使用する場合 - を使用すると AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring)、**Run コマンド**を使用してセキュリティエージェントを更新できます。更新するエージェントバージョンを使用します。
「[メソッド 2 - Linux パッケージマネージャーを使用する](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:)」を使用する場合は、「[セキュリティエージェントの手動インストール](installing-gdu-security-agent-ec2-manually.md)」セクションに記載されたスクリプトを使用できます。スクリプトには、既に最新のエージェントリリースバージョンが含まれています。最近リリースされたエージェントバージョンについては、「[Amazon EC2 インスタンス用の GuardDuty セキュリティエージェントバージョン](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history)」を参照してください。
セキュリティエージェントを更新した後、ログを確認してインストールステータスを確認できます。詳細については、「[GuardDuty セキュリティエージェントのインストールステータスの検証](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy)」を参照してください。
# Fargate の自動セキュリティエージェントの管理 (Amazon ECS のみ)
Runtime Monitoring は、GuardDuty を介してのみ Amazon ECS クラスター (AWS Fargate) のセキュリティエージェントの管理をサポートします。Amazon ECS クラスターでのセキュリティエージェントの手動管理はサポートされていません。
このセクションのステップに進む前に、必ず「[AWS Fargate (Amazon ECS のみ) サポートの前提条件](prereq-runtime-monitoring-ecs-support.md)」に従ってください。
「[Amazon ECS-Fargate リソースで GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters)」に応じて、リソースの GuardDuty 自動エージェントを有効にする任意の方法を選択します。
**Topics**
## マルチアカウント環境用の GuardDuty エージェントの設定
マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみが、メンバーアカウントの自動エージェント設定を有効または無効にすることや、組織内のメンバーアカウントに属する Amazon ECS クラスターの自動エージェント設定を管理することができます。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「[GuardDuty での複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。
### 委任 GuardDuty 管理者アカウントの自動エージェント設定の有効化
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Runtime Monitoring の **[すべてのアカウントについて有効にする]** を選択した場合、次のオプションがあります。
+ [自動エージェント設定] セクションで **[すべてのアカウントについて有効にする]** を選択します。GuardDuty は、起動されるすべての Amazon ECS タスクについてセキュリティエージェントをデプロイして管理します。
+ **[アカウントを手動で設定]** を選択します。
[Runtime Monitoring] セクションで **[アカウントを手動で設定]** を選択した場合、次の操作を行います。
1. [自動エージェント設定] セクションで **[アカウントを手動で設定する]** を選択します。
1. **[委任 GuardDuty 管理者 (このアカウント)]** セクションで **[有効にする]** を選択します。
**[保存]** を選択します。
GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. この Amazon ECS クラスターに、キーと値のペアを`GuardDutyManaged`-`false` というタグを追加します。
1. 信頼できるエンティティ以外は、タグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1.
**注記**
アカウントの自動エージェントの設定を有効にする前に、必ず Amazon ECS クラスターに除外タグを追加してください。追加しないと、GuardDuty サイドカーコンテナが起動される Amazon ECS タスクのすべてのコンテナに接続されます。
**[設定]** タブの **[自動エージェント設定]** で **[有効化]** を選択します。
除外されていない Amazon ECS クラスターの場合、GuardDuty がサイドカーコンテナ内のセキュリティエージェントのデプロイを管理します。
1. **[保存]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. すべてのタスクを含む Amazon ECS クラスターにタグを追加します。キーと値のペアは `GuardDutyManaged`–`true` である必要があります。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**注記**
Amazon ECS クラスターに包含タグを使用する場合、自動エージェント設定によって GuardDuty エージェントを明示的に有効にする必要はありません。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
### すべてのメンバーアカウントの自動有効化
------
#### [ Manage for all Amazon ECS clusters (account level) ]
以下の手順は、[Runtime Monitoring] セクションで **[すべてのアカウントで有効化]** を選択したことを前提としています。
1. [自動エージェント設定] セクションで **[すべてのアカウントについて有効にする]** を選択します。GuardDuty は、起動されるすべての Amazon ECS タスクについてセキュリティエージェントをデプロイして管理します。
1. **[保存]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. この Amazon ECS クラスターに、キーと値のペアを`GuardDutyManaged`-`false` というタグを追加します。
1. 信頼できるエンティティ以外は、タグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1.
**注記**
アカウントの自動エージェントの設定を有効にする前に、必ず Amazon ECS クラスターに除外タグを追加してください。追加しないと、GuardDuty サイドカーコンテナが起動される Amazon ECS タスクのすべてのコンテナに接続されます。
**[設定]** タブで、**[編集]** を選択します。
1. **[自動エージェント設定]** セクションで **[すべてのアカウントについて有効にする]** を選択します。
除外されていない Amazon ECS クラスターの場合、GuardDuty がサイドカーコンテナ内のセキュリティエージェントのデプロイを管理します。
1. **[保存]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Runtime Monitoring をどのように有効にするかにかかわらず、以下の手順は組織内のすべてのメンバーアカウントで選択する Amazon ECS Fargate タスクを監視するのに役立ちます。
1. [自動エージェント設定] セクションの設定はどれも有効にしないでください。Runtime Monitoring の設定は、前の手順で選択したものと同じにします。
1. **[保存]** を選択します。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**注記**
Amazon ECS クラスターにインクルージョンタグを使用する場合、**[GuardDuty エージェントの自動管理]** を明示的に有効にする必要はありません。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
### 既存のアクティブなメンバーアカウントでエージェントの自動設定を有効にする
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. [Runtime Monitoring] ページの **[設定]** タブで、自動エージェント 設定の現在のステータスを表示できます。
1. [自動エージェント設定] ペイン内の **[アクティブメンバーアカウント]** セクションで、**[アクション]** を選択します。
1. **[アクション]** から、**[すべての既存のアクティブなメンバーアカウントについて有効にする]** を選択します。
1. **[確認]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. この Amazon ECS クラスターに、キーと値のペアを`GuardDutyManaged`-`false` というタグを追加します。
1. 信頼できるエンティティ以外は、タグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1.
**注記**
アカウントの自動エージェントの設定を有効にする前に、必ず Amazon ECS クラスターに除外タグを追加してください。追加しないと、GuardDuty サイドカーコンテナが起動される Amazon ECS タスクのすべてのコンテナに接続されます。
[自動エージェント設定] セクションの **[設定]** タブから **[アクティブなメンバーアカウント]** で **[アクション]** を選択します。
1. **[アクション]** から、**[すべてのアクティブなメンバーアカウントについて有効にする]** を選択します。
除外されていない Amazon ECS クラスターの場合、GuardDuty がサイドカーコンテナ内のセキュリティエージェントのデプロイを管理します。
1. **[確認]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. すべてのタスクを含む Amazon ECS クラスターにタグを追加します。キーと値のペアは `GuardDutyManaged`–`true` である必要があります。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**注記**
Amazon ECS クラスターに包含タグを使用する場合、**[自動エージェント設定]** を明示的に有効にする必要はありません。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
### 新規メンバー用の自動エージェント設定を自動有効化
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. [Runtime Monitoring] ページで、**[編集]** を選択して既存の設定を更新します。
1. [自動エージェント設定] セクションで **[すべてのアカウントについて有効にする]** を選択します。
1. **[保存]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. この Amazon ECS クラスターに、キーと値のペアを`GuardDutyManaged`-`false` というタグを追加します。
1. 信頼できるエンティティ以外は、タグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1.
**注記**
アカウントの自動エージェントの設定を有効にする前に、必ず Amazon ECS クラスターに除外タグを追加してください。追加しないと、GuardDuty サイドカーコンテナが起動される Amazon ECS タスクのすべてのコンテナに接続されます。
**[設定]** タブの **[自動エージェント設定]** セクションで、**[新しいメンバーアカウントについて自動的に有効にする]** を選択します。
除外されていない Amazon ECS クラスターの場合、GuardDuty がサイドカーコンテナ内のセキュリティエージェントのデプロイを管理します。
1. **[保存]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. すべてのタスクを含む Amazon ECS クラスターにタグを追加します。キーと値のペアは `GuardDutyManaged`–`true` である必要があります。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**注記**
Amazon ECS クラスターに包含タグを使用する場合、**[自動エージェント設定]** を明示的に有効にする必要はありません。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
### アクティブなメンバーアカウントの自動エージェント設定を選択的に有効にする
------
#### [ Manage for all Amazon ECS (account level) ]
1. [アカウント] ページで、Runtime Monitoring 自動エージェント設定 (ECS-Fargate) を有効にするアカウントを選択します。複数のアカウントを選択できます。この手順で選択したアカウントで Runtime Monitoring が既に有効になっていることを確認してください。
1. **[保護プランの編集]** から、適切なオプションを選択して **[Runtime Monitoring 自動エージェントを設定 (ECS-Fargate)]** を有効にします。
1. **[確認]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. この Amazon ECS クラスターに、キーと値のペアを`GuardDutyManaged`-`false` というタグを追加します。
1. 信頼できるエンティティ以外は、タグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1.
**注記**
アカウントの GuardDuty エージェントの自動管理を有効にする前に、必ず Amazon ECS クラスターに除外タグを追加してください。追加しないと、GuardDuty サイドカーコンテナが起動される Amazon ECS タスク内のコンテナすべてにアタッチされます。
[アカウント] ページで、Runtime Monitoring 自動エージェント設定 (ECS-Fargate) を有効にするアカウントを選択します。複数のアカウントを選択できます。この手順で選択したアカウントで Runtime Monitoring が既に有効になっていることを確認してください。
除外されていない Amazon ECS クラスターの場合、GuardDuty がサイドカーコンテナ内のセキュリティエージェントのデプロイを管理します。
1. **[保護プランの編集]** から、適切なオプションを選択して **[Runtime Monitoring 自動エージェントを設定 (ECS-Fargate)]** を有効にします。
1. **[保存]** を選択します。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. 監視する Amazon ECS クラスターを含む選択したアカウントで、**[自動エージェント設定]** (または **[Runtime Monitoring 自動エージェント設定 (ECS-Fargate)**]) を有効にしていないことを確認してください。
1. すべてのタスクを含む Amazon ECS クラスターにタグを追加します。キーと値のペアは `GuardDutyManaged`–`true` である必要があります。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**注記**
Amazon ECS クラスターに包含タグを使用する場合、**[自動エージェント設定]** を明示的に有効にする必要はありません。
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
------
## スタンドアロンアカウントの GuardDuty エージェント の設定
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1. **[設定]** タブ:
1.
**すべての Amazon ECS クラスターの自動エージェント設定を管理するには (アカウントレベル)**
**[AWS Fargate (ECS のみ)]** の **[自動エージェント設定]** セクションで **[有効にする]** を選択します。新しい Fargate Amazon ECS タスクが起動すると、GuardDuty がセキュリティエージェントのデプロイを管理します。
1. **[保存]** を選択します。
1.
**Amazon ECS クラスターの一部を除外して自動エージェント設定を管理するには (クラスターレベル)**
1. すべてのタスクを除外する Amazon ECS クラスターにタグを追加します。キーと値のペアは `GuardDutyManaged`–`false` である必要があります。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. **[設定]** タブの **[自動エージェント設定]** セクションで **[有効化]** を選択します。
**注記**
アカウントの GuardDuty エージェントの自動管理を有効にする前に、必ず Amazon ECS クラスターに除外タグを追加してください。追加しないと、セキュリティエージェントが対応する Amazon ECS クラスター内で開始されるすべてのタスクにデプロイされます。
除外されていない Amazon ECS クラスターの場合、GuardDuty がサイドカーコンテナ内のセキュリティエージェントのデプロイを管理します。
1. **[保存]** を選択します。
1.
**Amazon ECS クラスターの一部を含めて自動エージェント設定を管理するには (クラスターレベル)**
1. すべてのタスクを含む Amazon ECS クラスターにタグを追加します。キーと値のペアは `GuardDutyManaged`–`true` である必要があります。
1. 信頼できるエンティティ以外は、これらのタグを変更しないようにしてください。「*AWS Organizations ユーザーガイド*」の「[認められている原則による場合を除き、タグが変更されないようにする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)」に記載されているポリシーが、ここに適用できるように変更されました。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. GuardDuty でサービスの一部であるタスクをモニタリングする場合は、Runtime Monitoring を有効にした後に新しいサービスデプロイが必要です。Runtime Monitoring を有効にする前に特定の ECS サービスの最後のデプロイが開始された場合は、サービスを再起動するか、`forceNewDeployment` を使用してサービスを更新できます。
サービスを更新するステップについては、以下のリソースを参照してください。
+ 「*Amazon Elastic Container Service デベロッパーガイド*」の「[コンソールを使用した Amazon ECS サービスの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html)」。
+ 「*Amazon Elastic Container Service API リファレンス*」の「[UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)」。
+ 「*AWS CLI コマンドリファレンス*」の「[update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html)」。
# Amazon EKS リソースのセキュリティエージェントの自動管理
Runtime Monitoring では、GuardDuty 自動設定と手動によるセキュリティエージェントの有効化をサポートしています。このセクションでは、Amazon EKS クラスターの自動エージェント設定を有効にするステップについて説明します。
続行する前に、「[Amazon EKS クラスターサポートの前提条件](prereq-runtime-monitoring-eks-support.md)」に従っていることを確認してください。
「[GuardDuty によるセキュリティエージェントの管理](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto)」の方法に関する任意のアプローチに応じて、以下のセクションのステップを適宜選択します。
## マルチアカウント環境の自動エージェントの設定
マルチアカウント環境では、委任 GuardDuty 管理者アカウントのみが、メンバーアカウントの自動エージェント設定を有効または無効にすることや、組織内のメンバーアカウントに属する EKS クラスターの自動エージェントを管理することができます。GuardDuty メンバーアカウントからは、この設定を変更できません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。マルチアカウント環境の詳細については、「[複数のアカウントの管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)」を参照してください。
### 委任 GuardDuty 管理者アカウントの自動エージェント設定
| **GuardDuty セキュリティエージェントを管理するための推奨アプローチ** | **ステップ** |
| --- | --- |
| GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング) | [Runtime Monitoring] セクションで **[すべてのアカウントについて有効にする]** を選択した場合、次のオプションがあります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [Runtime Monitoring] セクションで **[アカウントを手動で設定]** を選択した場合、次の操作を行います。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) **[保存]** を選択します。 |
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) | 次の手順から、該当するシナリオを 1 つ選択してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 包含タグを使用した選択的な EKS クラスターのモニタリング | Runtime Monitoring をどのように有効にするかにかかわらず、以下のステップはアカウント内の選択的な EKS クラスターをモニタリングするために役立ちます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty セキュリティエージェントの手動管理 | Runtime Monitoring をどのように有効にするかにかかわらず、EKS クラスターのセキュリティエージェントを手動で管理できます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### すべてのメンバーアカウントの自動エージェントを自動で有効にする
**注記**
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
| **GuardDuty セキュリティエージェントを管理するための推奨アプローチ** | **ステップ** |
| --- | --- |
| GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング) | このトピックは、すべてのメンバーアカウントの Runtime Monitoring を有効にするためのものです。そのため、以下のステップでは、[Runtime Monitoring] セクションで **[すべてのアカウントについて有効にする]** を選択していることを前提としています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) | 次の手順から、該当するシナリオを 1 つ選択してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 包含タグを使用した選択的な EKS クラスターのモニタリング | Runtime Monitoring をどのように有効にするかにかかわらず、以下のステップは組織内のすべてのメンバーアカウントの選択的な EKS クラスターをモニタリングするために役立ちます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty セキュリティエージェントの手動管理 | Runtime Monitoring をどのように有効にするかにかかわらず、EKS クラスターのセキュリティエージェントを手動で管理できます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### すべての既存のアクティブなメンバーアカウントの自動エージェントを有効にする
**注記**
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
**組織内の既存のアクティブなメンバーアカウントの GuardDuty セキュリティエージェントを管理するには**
+ GuardDuty が組織内の既存のアクティブなメンバーアカウントに属する EKS クラスターからランタイムイベントを受信できるようにするには、これらの EKS クラスターの GuardDuty セキュリティエージェントを管理するための推奨アプローチを選択する必要があります。上記の各アプローチの詳細については、「[Amazon EKS クラスターの GuardDuty セキュリティエージェントを管理するためのアプローチ](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters)」を参照してください。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
### 新規メンバー用の自動エージェント設定を自動有効化
| **GuardDuty セキュリティエージェントを管理するための推奨アプローチ** | **ステップ** |
| --- | --- |
| GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) | 次の手順から、該当するシナリオを 1 つ選択してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 包含タグを使用した選択的な EKS クラスターのモニタリング | Runtime Monitoring をどのように有効にするかにかかわらず、以下のステップは組織内の新しいメンバーアカウントの選択的な EKS クラスターをモニタリングするために役立ちます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty セキュリティエージェントの手動管理 | Runtime Monitoring をどのように有効にするかにかかわらず、EKS クラスターのセキュリティエージェントを手動で管理できます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### アクティブなメンバーアカウントの自動エージェントを選択的に設定する
| **GuardDuty セキュリティエージェントを管理するための推奨アプローチ** | **ステップ** |
| --- | --- |
| GuardDuty によるセキュリティエージェントの管理 (すべての EKS クラスターのモニタリング) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 一部を除外したすべての EKS クラスターのモニタリング (除外タグの使用) | 次の手順から、該当するシナリオを 1 つ選択してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 包含タグを使用した選択的な EKS クラスターのモニタリング | Runtime Monitoring をどのように有効にするかにかかわらず、以下のステップは選択したアカウントに属する選択的な EKS クラスターをモニタリングするために役立ちます。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty セキュリティエージェントの手動管理 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
## スタンドアロンアカウント用の自動エージェントの設定
スタンドアロンアカウントは、特定の の で保護プランを有効または無効にする決定を所有 AWS アカウント します AWS リージョン。
アカウントが を通じて AWS Organizations、または招待方法によって GuardDuty 管理者アカウントに関連付けられている場合、このセクションはアカウントには適用されません。詳細については、「[マルチアカウント環境の Runtime Monitoring の有効化](enable-runtime-monitoring-multiple-acc-env.md)」を参照してください。
Runtime Monitoring を有効にした後、自動設定または手動デプロイを使用して GuardDuty セキュリティエージェントをインストールしてください。次の手順に記載されたすべてのステップを完了する一環として、セキュリティエージェントをインストールしてください。
すべての Amazon EKS リソースをモニタリングするか、選択した Amazon EKS リソースをモニタリングするかに応じて、任意の方法を選択し、次の表のステップに従います。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。
1. ナビゲーションペインで、**[Runtime Monitoring]** を選択します。
1. **[設定]**タブで**[有効にする]**を選択し、アカウントの自動エージェント設定を有効にします。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
# Amazon EKS クラスターのセキュリティエージェントの手動管理
このセクションでは、Runtime Monitoring (または EKS Runtime Monitoring) を有効にした後に Amazon EKS アドオンエージェント (GuardDuty エージェント) を管理する方法について説明します。Runtime Monitoring を使用するには、Runtime Monitoring を有効にして Amazon EKS アドオン `aws-guardduty-agent` を設定する必要があります。GuardDuty が潜在的な脅威を検出し、「[GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)」を生成するには、両方のステップを実行する必要があります。
エージェントを手動で管理するには、前提条件として VPC エンドポイントを作成する必要があります。これは、GuardDuty がランタイムイベントを受信するのに役立ちます。その後、GuardDuty が Amazon EKS リソースからランタイムイベントを受信し始めるように、セキュリティエージェントをインストールできます。GuardDuty がこのリソースの新しいエージェントバージョンをリリースすると、アカウントでエージェントバージョンを更新できます。
**Topics**
+ [前提条件 – Amazon VPC エンドポイントの作成](eksrunmon-prereq-deploy-security-agent.md)
+ [Amazon EKS リソースへの GuardDuty セキュリティエージェントの手動インストール](eksrunmon-deploy-security-agent.md)
+ [Amazon EKS リソースのセキュリティエージェントの手動更新](eksrunmon-update-security-agent.md)
# 前提条件 – Amazon VPC エンドポイントの作成
GuardDuty セキュリティエージェントをインストールする前に、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成する必要があります。これにより、GuardDuty は Amazon EKS リソースのランタイムイベントを受信できるようになります。
**注記**
VPC エンドポイントの使用に追加コストはかかりません。
任意のアクセス方法を選択して、Amazon VPC エンドポイントを作成します。
------
#### [ Console ]
**VPC エンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインの **[仮想プライベートクラウド]** で、**[VPC]** を選択します。
1. **[エンドポイントの作成]** を選択します。
1. **[エンドポイントの作成]** ページの **[サービスカテゴリ]** で **[その他のエンドポイントサービス**] を選択します。
1. **[サービス名]** に **com.amazonaws.*us-east-1*.guardduty-data** と入力します。
必ず *us-east-1* を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。
1. **[サービスの確認]** を選択します。
1. サービス名が正常に確認されたら、クラスターが置かれている **[VPC]** を選択します。次のポリシーを追加して、VPC エンドポイントの使用を指定されたアカウントのみに制限します。このポリシー下で提供されている組織 `Condition` を使用して、次のポリシーを更新してエンドポイントへのアクセスを制限できます。組織内の特定のアカウント ID に VPC エンドポイントサポートを提供するには、「[Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
`aws:PrincipalAccount` アカウント ID は、VPC と VPC エンドポイントを含むアカウントと一致する必要があります。次のリストは、VPC エンドポイントを他の AWS アカウント ID と共有する方法を示しています。
**エンドポイントへのアクセスを制限する組織の条件**
+ VPC エンドポイントにアクセスする複数のアカウントを指定するには、`"aws:PrincipalAccount": "111122223333"`を以下に置き換えます。
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
+ 組織のすべてのメンバーが VPC エンドポイントにアクセスできるようにするには、`"aws:PrincipalAccount": "111122223333"` を以下に置き換えます。
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
+ リソースへのアクセスを組織 ID に制限するには、`ResourceOrgID` をポリシーに追加します。
詳細については、「[ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)」を参照してください。
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. **[追加設定]** で **[DNS 名を有効にする]** を選択します。
1. **[サブネット]** で、クラスターが存在するサブネットを選択します。
1. **[セキュリティグループ]** で、VPC (または EKS クラスター) からのインバウンドポート 443 が有効になっているセキュリティグループを選択します。インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、[セキュリティグループを作成](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)します。
VPC (またはインスタンス) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス `(0.0.0.0/0)` からのインバウンド 443 ポートをサポートできます。ただし、GuardDuty では、VPC の CIDR ブロックに一致する IP アドレスを使用することをお勧めします。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC CIDR ブロック](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)」を参照してください。
------
#### [ API/CLI ]
**VPC エンドポイントを作成するには**
+ [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) を呼び出します。
+ パラメータで以下の値を使用します。
+ **[サービス名]** に **com.amazonaws.*us-east-1*.guardduty-data** と入力します。
必ず *us-east-1* を正しいリージョンに置き換えてください。これは、 AWS アカウント ID に属する EKS クラスターと同じリージョンである必要があります。
+ [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html) には、プライベート DNS オプションを `true` に設定して有効にします。
+ 詳細については AWS Command Line Interface、「[create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)」を参照してください。
------
ステップに従った後、「[VPC エンドポイント設定の検証](validate-vpc-endpoint-config-runtime-monitoring.md)」を参照して、VPC エンドポイントが正しく設定されていることを確認します。
# Amazon EKS リソースへの GuardDuty セキュリティエージェントの手動インストール
このセクションでは、特定の EKS クラスターに GuardDuty セキュリティエージェントを初めてデプロイする方法について説明します。このセクションに進む前に、アカウントの前提条件をセットアップし、Runtime Monitoring を有効にしていることを確認してください。Runtime Monitoring を有効にしないと、GuardDuty セキュリティエージェント (EKS アドオン) は動作しません。
任意のアクセス方法を選択して、GuardDuty セキュリティエージェントを初めてデプロイします。
------
#### [ Console ]
1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters) で Amazon EKS コンソールを開きます。
1. **[クラスター名]** を選択します。
1. **[アドオン]** タブを選択してください。
1. **[その他のアドオンを入手]** を選択します。
1. **[アドオンの選択]** ページで、**[Amazon GuardDuty EKS Runtime Monitoring]** を選択します。
1. GuardDuty では、最新およびデフォルトのエージェント**バージョン**を選択することをお勧めします。
1. **[選択したアドオン設定の設定]** ページで、デフォルトの設定を使用します。EKS アドオンの **[ステータス]** は、**[アクティベーションが必要]** の場合は、**[GuardDuty を有効化]** を選択します。このアクションにより、GuardDuty コンソールが開き、アカウントの Runtime Monitoring を設定できます。
1. アカウントに Runtime Monitoring を設定したら、Amazon EKS コンソールに戻ってください。EKS アドオンの **[ステータス]** は、**[インストール準備完了]** に変わっているはずです。
1.
**(オプション) EKS アドオン設定スキーマの提供**
アドオン **[バージョン]** で **[v1.5.0]** 以上を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。パラメータ範囲の詳細については、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」を参照してください。
1. **[オプションの構成設定]** を展開して、設定可能なパラメータとその期待値と形式を表示します。
1. パラメータを設定します。値は、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」に記載されたされた範囲内である必要があります。
1. 詳細設定に基づいてアドオンを作成するには、**[変更の保存]** を選択します。
1. **[競合解決方法]** で選択したオプションが、パラメータの値をデフォルト値以外の値に更新する際の競合を解決するために使用されます。記載されたオプションの詳細については、「*Amazon EKS API リファレンス*」の「[resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)」を参照してください。
1. [**次へ**] を選択します。
1. **[確認と作成]** ページで、すべての詳細を確認し、**[作成]** を選択します。
1. クラスターの詳細に戻り、**[リソース]** タブを選択します。
1. **[aws-guardduty-agent]** というプレフィックスが付いた新しいポッドを表示できます。
------
#### [ API/CLI ]
Amazon EKS アドオンエージェント (`aws-guardduty-agent`) は、次のオプションのいずれかを使用して設定できます。
+ アカウントの [[CreateAddon]](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html) を実行します。
+
**注記**
アドオン `version` で **[v1.5.0 以上]** を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。詳細については、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」を参照してください。
リクエストパラメータに以下の値を使用します。
+ `addonName` に「`aws-guardduty-agent`」と入力します。
アドオンバージョン `v1.5.0`以降でサポートされている設定可能な値を使用する場合は、次の AWS CLI 例を使用できます。赤で強調表示されたプレースホルダー値と、設定済みの値に関連付けられた `Example.json` を必ず置き換えてください。
```
aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
+ サポートされている `addonVersion` については、「[GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version)」を参照してください。
+ または、 を使用することもできます AWS CLI。詳細については、「[create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html)」を参照してください。
------
**VPC エンドポイントのプライベート DNS 名**
デフォルトでは、セキュリティエージェントは VPC エンドポイントのプライベート DNS 名を解決して接続します。FIPS 以外のエンドポイントの場合、プライベート DNS は以下の形式で表示されます。
FIPS 以外のエンドポイント – `guardduty-data.us-east-1.amazonaws.com`
us AWS リージョン*-east-1* の は、リージョンに応じて変わります。
# Amazon EKS リソースのセキュリティエージェントの手動更新
GuardDuty セキュリティエージェントを手動で管理する場合、アカウントのセキュリティエージェントを更新する責任がユーザーにあります。新しいエージェントバージョンに関する通知については、「[GuardDuty セキュリティエージェントのリリースバージョン](runtime-monitoring-agent-release-history.md)」の RSS フィードにサブスクライブできます。
セキュリティエージェントを最新バージョンに更新して、追加されたサポートと改善を活用できます。現在のエージェントバージョンが標準サポートを終了していて、引き続き Runtime Monitoring (または EKS Runtime Monitoring) を使用する場合は、利用可能な次のバージョンまたは現在のエージェントバージョンに更新する必要があります。
**前提条件**
セキュリティエージェントのバージョンを更新する前に、現在使用する予定のエージェントのバージョンが Kubernetes バージョンと互換性があることを確認してください。詳細については、「[GuardDuty セキュリティエージェントでサポートされている Kubernetes のバージョン](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version)」を参照してください。
------
#### [ Console ]
1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters) で Amazon EKS コンソールを開きます。
1. **[クラスター名]** を選択します。
1. **[クラスター情報]** で、**[アドオン]** タブを選択します。
1. **[アドオン]** タブで、**[GuardDuty Runtime Monitoring]** を選択します。
1. **[編集]** を選択してエージェントの詳細を更新します。
1. **[GuardDuty EKS Runtime Monitoring の設定]** ページで、詳細を更新します。
1.
**(オプション) オプションの設定の更新**
EKS アドオン **[バージョン]** が *1.5.0* 以降の場合は、アドオン設定スキーマを更新することもできます。
1. **[オプションの構成設定]** を展開して、設定スキーマを表示します。
1. 「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」に記載された範囲に基づいてパラメータ値を更新します。
1. **[変更を保存]** を選択して更新を開始します。
1. **[競合解決方法]** で選択したオプションが、パラメータの値をデフォルト値以外の値に更新する際の競合を解決するために使用されます。記載されたオプションの詳細については、「*Amazon EKS API リファレンス*」の「[resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)」を参照してください。
------
#### [ API/CLI ]
Amazon EKS クラスターの GuardDuty セキュリティエージェントを更新するには、「[アドオンの更新](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on)」を参照してください。
**注記**
アドオン `version` で **[1.5.0]** 以降を選択した場合、Runtime Monitoring は GuardDuty エージェントの特定のパラメータの設定をサポートします。パラメータ範囲の詳細については、「[EKS アドオンパラメータを設定する](guardduty-configure-security-agent-eks-addon.md)」を参照してください。
アドオンバージョン *1.5.0 以降*でサポートされている設定可能な値を使用する場合は、次の AWS CLI 例を使用できます。赤で強調表示されたプレースホルダー値と、設定済みの値に関連付けられた `Example.json` を必ず置き換えてください。
```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
------
Amazon EKS アドオンバージョンが 1.5.0 以降で、アドオンスキーマを設定している場合は、クラスターに値が正しく表示されるかどうかを確認できます。詳細については、「[設定スキーマの更新の検証](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param)」を参照してください。
# Amazon EKS の GuardDuty セキュリティエージェント (アドオン) パラメータを設定する
Amazon EKS の GuardDuty セキュリティエージェントの特定のパラメータを設定できます。このサポートは、GuardDuty セキュリティエージェントバージョン 1.5.0 以降で利用できます。最新のアドオンバージョンについては、「[Amazon EKS リソースの GuardDuty セキュリティエージェントバージョン](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)」を参照してください。
**セキュリティエージェント設定スキーマを更新する理由**
GuardDuty セキュリティエージェントの設定スキーマは、Amazon EKS クラスター内のすべてのコンテナで同じです。デフォルト値が関連するワークロードおよびインスタンスサイズと一致しない場合は、CPU 設定、メモリ設定、`PriorityClass`、および `dnsPolicy` 設定の設定を検討してください。Amazon EKS クラスターの GuardDuty エージェントを管理する方法に関係なく、これらのパラメータの既存の設定を設定または更新できます。
## 設定されたパラメータを使用した自動エージェント設定動作
GuardDuty がユーザーに代わってセキュリティエージェント (EKS アドオン) を管理する場合、必要に応じてアドオンを更新します。GuardDuty は、設定可能なパラメータの値をデフォルト値に設定します。ただし、パラメータを目的の値に更新することはできます。これにより競合が発生する場合、[resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) のデフォルトオプションは `None` です。
## 設定可能なパラメータと値
アドオンパラメータを設定するステップについては、以下を参照してください。
+ [Amazon EKS リソースへの GuardDuty セキュリティエージェントの手動インストール](eksrunmon-deploy-security-agent.md) または
+ [Amazon EKS リソースのセキュリティエージェントの手動更新](eksrunmon-update-security-agent.md)
次の表は、Amazon EKS アドオンを手動でデプロイしたり、既存のアドオン設定を更新したりするために使用できる範囲と値を示しています。
**CPU 設定**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**[メモリの設定]**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**`PriorityClass` 設定**
GuardDuty が Amazon EKS アドオンを作成する場合、割り当てられる `PriorityClass` は `aws-guardduty-agent.priorityclass` です。つまり、エージェントポッドの優先度に基づいてアクションは実行されません。このアドオンパラメータは、次のいずれかの `PriorityClass` オプションを選択して設定できます。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes には、`system-cluster-critical` と `system-node-critical` の 2 つの `PriorityClass` オプションがあります。詳細については、「*Kubernetes ドキュメント*」の「[PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)」を参照してください。
**`dnsPolicy` 設定**
Kubernetes がサポートする次の DNS ポリシーオプションのいずれかを選択します。設定が指定されていない場合は、`ClusterFirst` がデフォルト値として使用されます。
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
これらのポリシーの詳細については、「*Kubernetes ドキュメント*」の「[Pod の DNS ポリシー](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy)」を参照してください。
## 設定スキーマの更新の検証
パラメータを設定した後、次のステップを実行して設定スキーマが更新されていることを確認します。
1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters) で Amazon EKS コンソールを開きます。
1. ナビゲーションペインで **[Clusters]** (クラスター) を選択してください。
1. **[クラスター]** ページで、更新を検証する **[クラスター名]** を選択します。
1. **[リソース]** タブを選択してください。
1. **[リソースタイプ]** ペインの **[ワークロード]** で、**[DaemonSets]** を選択します。
1. **[aws-guardduty-agent]** を選択します。
1. **[aws-guardduty-agent]** ページで **[Raw ビュー]** を選択して、フォーマットされていない JSON レスポンスを表示します。設定可能なパラメータに、指定した値が表示されていることを確認します。
確認した後、GuardDuty コンソールに切り替えます。対応する を選択し、Amazon EKS クラスターのカバレッジステータス AWS リージョン を表示します。詳細については、「[Amazon EKS クラスターのランタイムカバレッジとトラブルシューティング](eks-runtime-monitoring-coverage.md)」を参照してください。
# VPC エンドポイント設定の検証
セキュリティエージェントを手動でインストールするか、GuardDuty 自動設定を使用してインストールした後、このドキュメントを使用して VPC エンドポイント設定を検証できます。リソースタイプの[ランタイムカバレッジの問題](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html)をトラブルシューティングした後、これらのステップを使用することもできます。ステップが期待どおりに機能し、カバレッジステータスが **[正常]** として表示される可能性があることを確認できます。
次のステップを使用して、リソースタイプの VPC エンドポイント設定が VPC 所有者アカウントで正しく設定されていることを確認します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインの **[仮想プライベートクラウド]** で、**[VPC]** を選択します。
1. **[VPC]** ページで、**VPC ID** に関連付けられた **IPv4 CIDR** を選択します。
1. ナビゲーションペインの **[仮想プライベートクラウド]** で、**[VPC]** を選択します。
1. **[エンドポイント]** テーブルで、**[com.amazonaws.*us-east-1*.guardduty-data]** のような **[サービス名]** を持つ行を選択します。リージョン (`us-east-1`) はエンドポイントによって異なる場合があります。
1. エンドポイントの詳細のパネルが表示されます。**[セキュリティグループ]** タブで、関連する **[グループ ID]** リンクを選択して詳細を確認します。
1. **[セキュリティグループ]** テーブルで、関連する **[セキュリティグループ ID]** を持つ行を選択して詳細を表示します。
1. **[インバウンドルール]** タブで、**[ポート範囲]** が **[443]**、**[ソース]** が **[IPv4 CIDR]** からコピーされた値であるイングレスポリシーがあることを確認します。インバウンドルールは、インスタンスに到達できる受信トラフィックを制御します。次の図は、GuardDuty セキュリティエージェントが使用する VPC に関連付けられているセキュリティグループのインバウンドルールを示しています。
インバウンドポート 443 が有効になっているセキュリティグループがまだない場合は、「*Amazon EC2 ユーザーガイド*」の[セキュリティグループの作成](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)に関するページを参照します。
VPC (またはクラスター) へのインバウンド許可を制限する際に問題が発生した場合は、任意の IP アドレス (0.0.0.0/0) からのインバウンド 443 ポートをサポートします。
次のリストには、セキュリティエージェントをインストールまたは更新した後に知っておくべき項目が含まれています。
「**ランタイムカバレッジの評価**」
セキュリティエージェントをインストールまたは更新した後の次のステップは、リソースのランタイムカバレッジを評価することです。ランタイムカバレッジステータスが **[異常]** の場合、問題をトラブルシューティングする必要があります。詳細については、「[ランタイムカバレッジの問題とトラブルシューティング](runtime-monitoring-assessing-coverage.md)」を参照してください。
ランタイムカバレッジのステータスが **[正常]** と表示されている場合は、Runtime Monitoring がランタイムイベントを収集して受信できることを示します。これらのイベントのリストについては、「[収集されたランタイムイベントタイプ](runtime-monitoring-collected-events.md)」を参照してください。
**エンドポイントのプライベート DNS 名**
リソースに GuardDuty セキュリティエージェントをインストールすると、デフォルトで VPC エンドポイントのプライベート DNS 名を解決して接続します。FIPS 以外のエンドポイントの場合、プライベート DNS は以下の形式で表示されます。
`guardduty-data.us-east-1.amazonaws.com`
us AWS リージョン*-east-1* の は、リージョンに応じて変わります。
**ホストには 2 つのセキュリティエージェントがインストールされる場合があります**
Amazon EC2 インスタンスの GuardDuty セキュリティエージェントを使用する場合、Amazon EKS クラスター内の基盤となるホストにエージェントをインストールして使用することができます。その EKS クラスターにセキュリティエージェントを既にデプロイしている場合、同じホストで 2 つのセキュリティエージェントが同時に実行される可能性があります。このシナリオでの GuardDuty の仕組みについては、「[同じホスト上のセキュリティエージェント](two-security-agents-installed-on-ec2-node.md)」を参照してください。