As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de agente de segurança automatizado para Fargate (somente Amazon ECS)
O Runtime Monitoring suporta o gerenciamento do agente de segurança para seus clusters do Amazon ECS (AWS Fargate) somente por meio GuardDuty de. Não há suporte para gerenciar o agente de segurança manualmente nos clusters do Amazon ECS.
Antes de prosseguir com as etapas nesta seção, certifique-se de seguir [Pré-requisitos para suporte (somente para AWS Fargate Amazon ECS)](prereq-runtime-monitoring-ecs-support.md).
Com base no[Abordagens para gerenciar agentes GuardDuty de segurança nos recursos do Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), escolha um método preferido para habilitar o agente GuardDuty automatizado para seus recursos.
**Topics**
## Configurando o GuardDuty agente para um ambiente com várias contas
Em um ambiente de várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automática de agentes para as contas membros e gerenciar a configuração automática de agentes para clusters do Amazon ECS que pertencem às contas membros em sua organização. Uma conta de GuardDuty membro não pode modificar essa configuração. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte [Gerenciando várias contas em GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).
### Habilitando a configuração automatizada do agente para a conta de GuardDuty administrador delegado
------
#### [ Manage for all Amazon ECS clusters (account level) ]
Se você escolher **Habilitar para todas as contas** para Monitoramento de runtime, terá as seguintes opções:
+ Escolha **Ativar para todas as contas** na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todas as tarefas do Amazon ECS que forem lançadas.
+ Escolha **Configurar contas manualmente**.
Se você escolheu **Configurar contas manualmente** na seção Monitoramento de runtime, faça o seguinte:
1. Selecione **Configurar contas manualmente** na seção Configuração de agente automatizado.
1. Escolha **Habilitar** na seção **Conta de GuardDuty administrador delegado (esta conta)**.
Escolha **Salvar**.
Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.
1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Monitoramento de runtime**.
1.
**nota**
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.
Na guia **Configuração**, escolha **Habilitar** na **Configuração do automatizada do agente**.
Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.
1. Escolha **Salvar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Ao usar tags de inclusão para seus clusters do Amazon ECS, você não precisa habilitar explicitamente o GuardDuty agente por meio da configuração automática do agente.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
### Habilitar automaticamente para todas as contas-membro
------
#### [ Manage for all Amazon ECS clusters (account level) ]
As etapas a seguir pressupõem que você escolheu **Habilitar para todas as contas** na seção Monitoramento de runtime.
1. Escolha **Ativar para todas as contas** na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todas as tarefas do Amazon ECS que forem lançadas.
1. Escolha **Salvar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.
1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Monitoramento de runtime**.
1.
**nota**
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.
Na guia **Configuração**, escolha **Editar**.
1. Escolha **Habilitar para todas as contas** na seção **Configuração automatizada do agente**
Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.
1. Escolha **Salvar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
Independentemente de como você escolhe habilitar o Monitoramento de runtime, as seguintes etapas ajudarão a monitorar as tarefas seletivas do Amazon ECS Fargate para todas as contas-membro na sua organização.
1. Não habilite nenhuma configuração na seção Configuração de agente automatizado Mantenha a configuração do Monitoramento de runtime igual à selecionada na etapa anterior.
1. Escolha **Salvar**.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Ao usar tags de inclusão para seus clusters do Amazon ECS, você não precisa habilitar explicitamente o **gerenciamento automático de GuardDuty agentes**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
### Habilitação da configuração de agente automatizado para contas-membro ativas existentes
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Na página Monitoramento de runtime, na guia **Configuração**, é possível visualizar o status atual da Configuração de agente automatizado.
1. No painel Configuração de agente automatizado, na seção **Contas-membro ativas**, escolha **Ações**.
1. Em **Ações**, escolha **Habilitar para todas as contas-membro ativas existentes**.
1. Escolha **Confirmar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.
1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Monitoramento de runtime**.
1.
**nota**
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.
Na guia **Configuração**, na seção Configuração automatizada do agente, em **Contas-membro ativas**, escolha **Ações**.
1. Em **Ações**, escolha **Habilitar para todas as contas-membro ativas**.
Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.
1. Escolha **Confirmar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Ao usar tags de inclusão para seus clusters do Amazon ECS, não é preciso habilitar explicitamente a **Configuração automatizada do agente**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
### Habilitar automaticamente a Configuração automatizada do agente para novos membros
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. Na página Monitoramento de runtime, escolha **Editar** para atualizar a configuração existente.
1. Na seção Configuração automatizada do agente, selecione **Habilitar automaticamente para novas contas de membros**.
1. Escolha **Salvar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.
1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Monitoramento de runtime**.
1.
**nota**
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.
Na guia **Configuração**, selecione **Habilitar automaticamente para novas contas-membro** na seção **Configuração automatizada do agente**.
Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.
1. Escolha **Salvar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Ao usar tags de inclusão para seus clusters do Amazon ECS, não é preciso habilitar explicitamente a **Configuração automatizada do agente**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
### Habilitando seletivamente a Configuração automatizada de agente para contas-membro ativas
------
#### [ Manage for all Amazon ECS (account level) ]
1. Na página Contas, selecione as contas para as quais deseja habilitar a Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate). Você pode selecionar várias contas. Certifique-se de que as contas selecionadas nesta etapa já estejam habilitadas com Monitoramento de runtime.
1. Em **Editar planos de proteção**, escolha a opção apropriada para habilitar a **Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate)**.
1. Escolha **Confirmar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.
1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Monitoramento de runtime**.
1.
**nota**
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar o gerenciamento automático do GuardDuty agente para sua conta; caso contrário, o GuardDuty contêiner auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.
Na página Contas, selecione as contas para as quais deseja habilitar a Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate). Você pode selecionar várias contas. Certifique-se de que as contas selecionadas nesta etapa já estejam habilitadas com Monitoramento de runtime.
Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.
1. Em **Editar planos de proteção**, escolha a opção apropriada para habilitar a **Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate)**.
1. Escolha **Salvar**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. Certifique-se de não habilitar a **Configuração automatizada de agente** (ou **Configuração automatizada de agente de Monitoramento de runtime (ECS-Fargate)**) para as contas selecionadas que têm os clusters do Amazon ECS que deseja monitorar.
1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**nota**
Ao usar tags de inclusão para seus clusters do Amazon ECS, não é preciso habilitar explicitamente a **Configuração automatizada do agente**.
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.
------
## Configurando o GuardDuty agente para uma conta independente
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, escolha **Monitoramento de runtime**.
1. Na guia **Configuração**:
1.
**Para gerenciar a Configuração automatizada de agente para todos os clusters do Amazon ECS (nível da conta)**
Selecione **Habilitar** na seção **Configuração automatizada do agente** para **AWS Fargate (apenas ECS)**. Quando uma nova tarefa do Fargate Amazon ECS for iniciada, GuardDuty gerenciará a implantação do agente de segurança.
1. Escolha **Salvar**.
1.
**Para gerenciar a Configuração automatizada do agente excluindo alguns dos clusters do Amazon ECS (nível de cluster)**
1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja excluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`false`.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Na guia **Configuração**, escolha **Habilitar** na seção **Configuração automatizada do agente**.
**nota**
Sempre adicione a tag de exclusão ao seu cluster do Amazon ECS antes de ativar o gerenciamento automático do GuardDuty agente para sua conta; caso contrário, o agente de segurança será implantado em todas as tarefas que forem iniciadas no cluster correspondente do Amazon ECS.
Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.
1. Escolha **Salvar**.
1.
**Para gerenciar a Configuração automatizada de agente incluindo alguns dos clusters do Amazon ECS (nível de cluster)**
1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.
1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.
Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.