As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitando o agente de segurança automatizado para a instância do Amazon EC2
<a name="managing-gdu-agent-ec2-automated"></a>

Esta seção inclui etapas para habilitar o agente GuardDuty automatizado para seus recursos do Amazon EC2 em sua conta independente ou em um ambiente de várias contas. 

Antes de continuar, verifique se todas [Pré-requisitos para suporte de instância do Amazon EC2](prereq-runtime-monitoring-ec2-support.md) foram seguidas.

Se você estiver migrando do gerenciamento manual do GuardDuty agente para a ativação do agente GuardDuty automatizado, antes de seguir as etapas para habilitar o agente GuardDuty automatizado, consulte[Migração do agente manual do Amazon EC2 para o agente automatizado](migrate-from-ec2-manual-to-automated-agent.md).

# GuardDuty Agente habilitador para recursos do Amazon EC2 em ambiente de várias contas
<a name="manage-agent-ec2-multi-account-env"></a>

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automática do agente para os tipos de recursos pertencentes às contas membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte [Gerenciar de várias contas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Para conta de GuardDuty administrador delegado
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Se você escolher **Habilitar para todas as contas** do Runtime Monitoring, escolha uma das seguintes opções para a conta de GuardDuty administrador delegado:
+ **Opção 1**

  Em **Configuração de agente automatizado**, na seção **EC2**, selecione **Habilitar para todas as contas**.
+ **Opção 2**
  + Em **Configuração de agente automatizado**, na seção **EC2**, selecione **Configurar contas manualmente**.
  + Selecione **Habilitar** em **Administrador delegado (esta conta)**.
+ Escolha **Salvar**.

Se você escolheu **Configurar contas manualmente** na seção Monitoramento de runtime, execute as seguintes etapas:
+ Em **Configuração de agente automatizado**, na seção **EC2**, selecione **Configurar contas manualmente**.
+ Selecione **Habilitar** em **Administrador delegado (esta conta)**.
+ Escolha **Salvar**.

Independentemente da opção escolhida para habilitar a configuração automatizada do agente para a conta de GuardDuty administrador delegado, você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes a essa conta.

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Abra a guia **Destinos** da associação SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o GuardDuty agente para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty instalar e gerenciar o agente de segurança para essas instâncias EC2 selecionadas. Você **não** precisa habilitar explicitamente a configuração de agente automatizado.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança somente nos recursos do EC2 que estão marcados com as tags de inclusão. 

   Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM que é criada (`GuardDutyRuntimeMonitoring-do-not-delete`). A **chave Tag** aparece como **tag: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o GuardDuty agente para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automaticamente para todas as contas-membro
<a name="auto-enable-all-member-accounts"></a>

**nota**  
Pode levar até 24 horas para atualizar a configuração das contas-membro.

------
#### [ Configure for all instances ]

As etapas a seguir pressupõem que você escolha **Ativar para todas as contas** na seção Monitoramento de runtime:

1. Escolha **Ativar para todas as contas** na seção **Configuração automatizada do agente** para **Amazon EC2**. 

1. Você pode verificar se a associação SSM que GuardDuty cria (`GuardDutyRuntimeMonitoring-do-not-delete`) instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes a essa conta.

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** para a associação SSM. Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o GuardDuty agente para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias do EC2 que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty instalar e gerenciar o agente de segurança para essas instâncias EC2 selecionadas. Você **não** precisa habilitar explicitamente a configuração de agente automatizado.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes à sua conta.

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automaticamente apenas para novas contas-membro
<a name="auto-enable-new-member-accounts"></a>

A conta de GuardDuty administrador delegado pode definir a configuração automática do agente para o recurso Amazon EC2 para habilitar automaticamente as novas contas membros à medida que elas ingressam na organização. 

------
#### [ Configure for all instances ]

As etapas a seguir pressupõem que você selecionou **Habilitar automaticamente para novas contas-membro** na seção **Monitoramento de runtime**:

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. Na página **Monitoramento de runtime**, escolha **Editar**.

1. Selecione **Habilitar automaticamente para novas contas-membro**. Essa etapa garante que sempre que uma nova conta ingressar na sua organização, a configuração de agente automatizado para o Amazon EC2 seja habilitada automaticamente para a conta dessa pessoa. Somente a conta de GuardDuty administrador delegado da organização pode modificar essa seleção.

1. Escolha **Salvar**.

Quando uma nova conta-membro ingressar na organização, essa configuração será ativada automaticamente para eles. GuardDuty Para gerenciar o agente de segurança das instâncias do Amazon EC2 que pertencem a essa nova conta membro, certifique-se de que todos os pré-requisitos [Para uma instância do EC2](prereq-runtime-monitoring-ec2-support.md) sejam atendidos.

Quando uma associação SSM é criada (`GuardDutyRuntimeMonitoring-do-not-delete`), você pode verificar se a associação de SSM instalará e gerenciará o agente de segurança em todas as instâncias do EC2 pertencentes à nova conta-membro.
+ Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
+ Abra a guia **Destinos** para a associação SSM. Observe que a **chave Tag** aparece como **InstanceIds**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas em sua conta**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty instalar e gerenciar o agente de segurança para essas instâncias selecionadas. Você não precisa habilitar explicitamente a configuração de agente automatizado.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança somente nos recursos do EC2 que estão marcados com as tags de inclusão. 

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** para a associação SSM que é criada. A **chave Tag** aparece como **tag: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias específicas em sua conta independente**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

## Somente contas-membro seletivas
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. Na página **Contas**, selecione uma ou mais contas para as quais deseja habilitar **Configuração automatizada do agente de Monitoramento de runtime (Amazon EC2)**. Certifique-se de que as contas selecionadas nesta etapa já tenham o Monitoramento de runtime habilitado.

1. Em **Editar planos de proteção**, escolha a opção apropriada para habilitar **Configuração automatizada do agente de Monitoramento de runtime (Amazon EC2)**.

1. Escolha **Confirmar**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty gerenciar o agente de segurança para suas instâncias marcadas do Amazon EC2. Você não precisa habilitar explicitamente a configuração de agente automatizado (**Monitoramento de runtime - Configuração de agente automatizado (EC2)**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias do EC2 que você **não** GuardDuty deseja monitorar ou detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

# Habilitando um agente GuardDuty automatizado para recursos do Amazon EC2 em uma conta independente
<a name="manage-agent-ec2-standalone-account"></a>

Uma conta autônoma é responsável pela decisão de ativar ou desativar um plano de proteção Conta da AWS em uma conta específica Região da AWS. 

Se sua conta estiver associada a uma conta de GuardDuty administrador por meio AWS Organizations ou pelo método de convite, esta seção não se aplica à sua conta. Para obter mais informações, consulte [Habilitando o Monitoramento de runtime do EKS para ambientes com várias contas](enable-runtime-monitoring-multiple-acc-env.md).

Depois de ativar o Runtime Monitoring, certifique-se de instalar o agente GuardDuty de segurança por meio de configuração automatizada ou implantação manual. Como parte da conclusão de todas as etapas listadas no procedimento a seguir, certifique-se de instalar o agente de segurança.

Com base em sua prioridade de monitorar todos os recursos do Amazon EC2 ou recursos seletivos, escolha um método de acordo com sua preferência e siga as etapas da tabela a seguir.

------
#### [ Configure for all instances ]

**Para configurar o Monitoramento de runtime para todas as instâncias em sua conta autônoma**

1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. Na guia **Configuração**, escolha **Editar**.

1. Na seção **EC2**, escolha **Habilitar**.

1. Escolha **Salvar**.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes à sua conta.

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança somente nos recursos do EC2 que estão marcados com as tags de inclusão. 

   Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM que é criada (`GuardDutyRuntimeMonitoring-do-not-delete`). A **chave Tag** aparece como **tag: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. Selecione a instância para a qual deseja permitir tags.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

   1. Em **Acesso a tags no metadados de instância**, selecione **Permitir**.

   1. Escolha **Salvar**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

# Migração do agente manual do Amazon EC2 para o agente automatizado
<a name="migrate-from-ec2-manual-to-automated-agent"></a>

Esta seção se aplica Conta da AWS se você já gerenciava o agente de segurança manualmente e agora deseja usar a configuração GuardDuty automatizada do agente. Se isso não se aplicar a você, continue configurando o agente de segurança da sua conta.

Quando você ativa o agente GuardDuty automatizado, GuardDuty gerencia o agente de segurança em seu nome. Para obter informações sobre quais etapas são GuardDuty necessárias, consulte[Usar a configuração de agente automatizado (recomendado)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).

## Limpar os recursos
<a name="ec2-clean-up-migrate-from-manual-to-automated"></a>

**Excluir uma associação SSM**  
+ Exclua qualquer associação SSM que você possa ter criado ao gerenciar manualmente o agente de segurança do Amazon EC2. Para obter mais informações, consulte [Excluindo associações](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Isso é feito para que GuardDuty possa assumir o gerenciamento das ações de SSM, independentemente de você usar agentes automatizados no nível da conta ou da instância (usando tags de inclusão ou exclusão). Para obter mais informações sobre quais ações do SSM podem ser GuardDuty tomadas, consulte[Permissões de função vinculadas ao serviço para GuardDuty](slr-permissions.md).
+ Quando você exclui uma associação de SSM que foi criada anteriormente para gerenciar o agente de segurança manualmente, pode haver um breve período de sobreposição ao GuardDuty criar uma associação de SSM para gerenciar o agente de segurança automaticamente. Durante esse período, você pode enfrentar conflitos com base no agendamento do SSM. Para obter mais informações, consulte [Programação de SSM do Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).

**Gerencie tags de inclusão e exclusão para suas instâncias do Amazon EC2**  
+ **Tags de inclusão** — Quando você não ativa a configuração GuardDuty automática do agente, mas marca qualquer uma das suas instâncias do Amazon EC2 com uma tag de inclusão (`GuardDutyManaged`:`true`), GuardDuty cria uma associação SSM que instalará e gerenciará o agente de segurança nas instâncias do EC2 selecionadas. Esse é um comportamento esperado que ajuda você a gerenciar o agente de segurança somente em instâncias EC2 selecionadas. Para obter mais informações, consulte [Como o Monitoramento de runtime funciona com instâncias do Amazon ECS](how-runtime-monitoring-works-ec2.md).

  Para GuardDuty evitar a instalação e o gerenciamento do agente de segurança, remova a tag de inclusão dessas instâncias do EC2. Para obter mais informações, consulte [Adicionar e excluir tags](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) no *Guia do usuário do Amazon EC2*.
+ **Tags de exclusão** — Quando você quiser habilitar a configuração GuardDuty automatizada do agente para todas as instâncias do EC2 em sua conta, certifique-se de que nenhuma instância do EC2 esteja marcada com uma tag de exclusão (:). `GuardDutyManaged` `false`