As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciando agentes GuardDuty de segurança
<a name="runtime-monitoring-managing-agents"></a>

Você pode gerenciar o agente de GuardDuty segurança do recurso que deseja monitorar. Se você quiser monitorar mais de um tipo de recurso, certifique-se de gerenciar o GuardDuty agente desse recurso.

Os tópicos a seguir ajudarão você nas próximas etapas para gerenciar o agente de segurança.

**Topics**
+ [Habilitando o agente de segurança automatizado para a instância do Amazon EC2](managing-gdu-agent-ec2-automated.md)
+ [Gerenciando o agente de segurança manualmente para o recurso do Amazon EC2](managing-gdu-agent-ec2-manually.md)
+ [Gerenciamento de agente de segurança automatizado para Fargate (somente Amazon ECS)](managing-gdu-agent-ecs-automated.md)
+ [Gerenciando automaticamente o agente de segurança para recursos do Amazon EKS](managing-gdu-agent-eks-automatically.md)
+ [Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS](managing-gdu-agent-eks-manually.md)
+ [Configurar parâmetros do agente de GuardDuty segurança (complemento) para o Amazon EKS](guardduty-configure-security-agent-eks-addon.md)
+ [Validando a configuração do endpoint da VPC](validate-vpc-endpoint-config-runtime-monitoring.md)

# Habilitando o agente de segurança automatizado para a instância do Amazon EC2
<a name="managing-gdu-agent-ec2-automated"></a>

Esta seção inclui etapas para habilitar o agente GuardDuty automatizado para seus recursos do Amazon EC2 em sua conta independente ou em um ambiente de várias contas. 

Antes de continuar, verifique se todas [Pré-requisitos para suporte de instância do Amazon EC2](prereq-runtime-monitoring-ec2-support.md) foram seguidas.

Se você estiver migrando do gerenciamento manual do GuardDuty agente para a ativação do agente GuardDuty automatizado, antes de seguir as etapas para habilitar o agente GuardDuty automatizado, consulte[Migração do agente manual do Amazon EC2 para o agente automatizado](migrate-from-ec2-manual-to-automated-agent.md).

# GuardDuty Agente habilitador para recursos do Amazon EC2 em ambiente de várias contas
<a name="manage-agent-ec2-multi-account-env"></a>

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automática do agente para os tipos de recursos pertencentes às contas membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte [Gerenciar de várias contas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Para conta de GuardDuty administrador delegado
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Se você escolher **Habilitar para todas as contas** do Runtime Monitoring, escolha uma das seguintes opções para a conta de GuardDuty administrador delegado:
+ **Opção 1**

  Em **Configuração de agente automatizado**, na seção **EC2**, selecione **Habilitar para todas as contas**.
+ **Opção 2**
  + Em **Configuração de agente automatizado**, na seção **EC2**, selecione **Configurar contas manualmente**.
  + Selecione **Habilitar** em **Administrador delegado (esta conta)**.
+ Escolha **Salvar**.

Se você escolheu **Configurar contas manualmente** na seção Monitoramento de runtime, execute as seguintes etapas:
+ Em **Configuração de agente automatizado**, na seção **EC2**, selecione **Configurar contas manualmente**.
+ Selecione **Habilitar** em **Administrador delegado (esta conta)**.
+ Escolha **Salvar**.

Independentemente da opção escolhida para habilitar a configuração automatizada do agente para a conta de GuardDuty administrador delegado, você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes a essa conta.

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Abra a guia **Destinos** da associação SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o GuardDuty agente para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty instalar e gerenciar o agente de segurança para essas instâncias EC2 selecionadas. Você **não** precisa habilitar explicitamente a configuração de agente automatizado.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança somente nos recursos do EC2 que estão marcados com as tags de inclusão. 

   Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM que é criada (`GuardDutyRuntimeMonitoring-do-not-delete`). A **chave Tag** aparece como **tag: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o GuardDuty agente para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automaticamente para todas as contas-membro
<a name="auto-enable-all-member-accounts"></a>

**nota**  
Pode levar até 24 horas para atualizar a configuração das contas-membro.

------
#### [ Configure for all instances ]

As etapas a seguir pressupõem que você escolha **Ativar para todas as contas** na seção Monitoramento de runtime:

1. Escolha **Ativar para todas as contas** na seção **Configuração automatizada do agente** para **Amazon EC2**. 

1. Você pode verificar se a associação SSM que GuardDuty cria (`GuardDutyRuntimeMonitoring-do-not-delete`) instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes a essa conta.

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** para a associação SSM. Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o GuardDuty agente para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias do EC2 que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty instalar e gerenciar o agente de segurança para essas instâncias EC2 selecionadas. Você **não** precisa habilitar explicitamente a configuração de agente automatizado.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes à sua conta.

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

## Habilitar automaticamente apenas para novas contas-membro
<a name="auto-enable-new-member-accounts"></a>

A conta de GuardDuty administrador delegado pode definir a configuração automática do agente para o recurso Amazon EC2 para habilitar automaticamente as novas contas membros à medida que elas ingressam na organização. 

------
#### [ Configure for all instances ]

As etapas a seguir pressupõem que você selecionou **Habilitar automaticamente para novas contas-membro** na seção **Monitoramento de runtime**:

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. Na página **Monitoramento de runtime**, escolha **Editar**.

1. Selecione **Habilitar automaticamente para novas contas-membro**. Essa etapa garante que sempre que uma nova conta ingressar na sua organização, a configuração de agente automatizado para o Amazon EC2 seja habilitada automaticamente para a conta dessa pessoa. Somente a conta de GuardDuty administrador delegado da organização pode modificar essa seleção.

1. Escolha **Salvar**.

Quando uma nova conta-membro ingressar na organização, essa configuração será ativada automaticamente para eles. GuardDuty Para gerenciar o agente de segurança das instâncias do Amazon EC2 que pertencem a essa nova conta membro, certifique-se de que todos os pré-requisitos [Para uma instância do EC2](prereq-runtime-monitoring-ec2-support.md) sejam atendidos.

Quando uma associação SSM é criada (`GuardDutyRuntimeMonitoring-do-not-delete`), você pode verificar se a associação de SSM instalará e gerenciará o agente de segurança em todas as instâncias do EC2 pertencentes à nova conta-membro.
+ Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
+ Abra a guia **Destinos** para a associação SSM. Observe que a **chave Tag** aparece como **InstanceIds**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas em sua conta**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty instalar e gerenciar o agente de segurança para essas instâncias selecionadas. Você não precisa habilitar explicitamente a configuração de agente automatizado.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança somente nos recursos do EC2 que estão marcados com as tags de inclusão. 

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** para a associação SSM que é criada. A **chave Tag** aparece como **tag: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias específicas em sua conta independente**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

## Somente contas-membro seletivas
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. Na página **Contas**, selecione uma ou mais contas para as quais deseja habilitar **Configuração automatizada do agente de Monitoramento de runtime (Amazon EC2)**. Certifique-se de que as contas selecionadas nesta etapa já tenham o Monitoramento de runtime habilitado.

1. Em **Editar planos de proteção**, escolha a opção apropriada para habilitar **Configuração automatizada do agente de Monitoramento de runtime (Amazon EC2)**.

1. Escolha **Confirmar**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Adicionar essa tag permitirá GuardDuty gerenciar o agente de segurança para suas instâncias marcadas do Amazon EC2. Você não precisa habilitar explicitamente a configuração de agente automatizado (**Monitoramento de runtime - Configuração de agente automatizado (EC2)**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias do EC2 que você **não** GuardDuty deseja monitorar ou detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

# Habilitando um agente GuardDuty automatizado para recursos do Amazon EC2 em uma conta independente
<a name="manage-agent-ec2-standalone-account"></a>

Uma conta autônoma é responsável pela decisão de ativar ou desativar um plano de proteção Conta da AWS em uma conta específica Região da AWS. 

Se sua conta estiver associada a uma conta de GuardDuty administrador por meio AWS Organizations ou pelo método de convite, esta seção não se aplica à sua conta. Para obter mais informações, consulte [Habilitando o Monitoramento de runtime do EKS para ambientes com várias contas](enable-runtime-monitoring-multiple-acc-env.md).

Depois de ativar o Runtime Monitoring, certifique-se de instalar o agente GuardDuty de segurança por meio de configuração automatizada ou implantação manual. Como parte da conclusão de todas as etapas listadas no procedimento a seguir, certifique-se de instalar o agente de segurança.

Com base em sua prioridade de monitorar todos os recursos do Amazon EC2 ou recursos seletivos, escolha um método de acordo com sua preferência e siga as etapas da tabela a seguir.

------
#### [ Configure for all instances ]

**Para configurar o Monitoramento de runtime para todas as instâncias em sua conta autônoma**

1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. Na guia **Configuração**, escolha **Editar**.

1. Na seção **EC2**, escolha **Habilitar**.

1. Escolha **Salvar**.

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança em todos os recursos do EC2 pertencentes à sua conta.

   1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que a **chave Tag** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `true` tag`GuardDutyManaged`: às instâncias que você GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Você pode verificar se a associação SSM GuardDuty criada instalará e gerenciará o agente de segurança somente nos recursos do EC2 que estão marcados com as tags de inclusão. 

   Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

   1. Abra a guia **Destinos** da associação SSM que é criada (`GuardDutyRuntimeMonitoring-do-not-delete`). A **chave Tag** aparece como **tag: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Certifique-se de adicionar a tag de exclusão às instâncias do Amazon EC2 antes de iniciá-las. Depois de habilitar a configuração automatizada do agente para o Amazon EC2, qualquer instância do EC2 que seja executada sem uma tag de exclusão será coberta GuardDuty pela configuração automática do agente.

**Para configurar o agente GuardDuty de segurança para instâncias selecionadas do Amazon EC2**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Adicione a `false` tag`GuardDutyManaged`: às instâncias que você **não** GuardDuty deseja monitorar e detectar possíveis ameaças. Para obter informações sobre como adicionar essa tag, consulte [Para adicionar uma tag a um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que as [tags de exclusão estejam disponíveis](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) nos metadados da instância, execute as seguintes etapas:**

   1. Na guia **Detalhes** da sua instância, veja o status de **Permitir tags nos metadados da instância**.

      Se estiver **Desativado** no momento, use as etapas a seguir para alterar o status para **Ativado**. Caso contrário, ignore essa etapa.

   1. Selecione a instância para a qual deseja permitir tags.

   1. No menu **Ações**, escolha **Configurações da instância**.

   1. Escolha **Permitir tags em metadados de instância**.

   1. Em **Acesso a tags no metadados de instância**, selecione **Permitir**.

   1. Escolha **Salvar**.

1. Depois de adicionar a tag de exclusão, execute as mesmas etapas especificadas na guia **Configurar para todas as instâncias**.

------

Agora você pode avaliar o runtime [Cobertura de runtime e solução de problemas para instância do Amazon EC2](gdu-assess-coverage-ec2.md).

# Migração do agente manual do Amazon EC2 para o agente automatizado
<a name="migrate-from-ec2-manual-to-automated-agent"></a>

Esta seção se aplica Conta da AWS se você já gerenciava o agente de segurança manualmente e agora deseja usar a configuração GuardDuty automatizada do agente. Se isso não se aplicar a você, continue configurando o agente de segurança da sua conta.

Quando você ativa o agente GuardDuty automatizado, GuardDuty gerencia o agente de segurança em seu nome. Para obter informações sobre quais etapas são GuardDuty necessárias, consulte[Usar a configuração de agente automatizado (recomendado)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2).

## Limpar os recursos
<a name="ec2-clean-up-migrate-from-manual-to-automated"></a>

**Excluir uma associação SSM**  
+ Exclua qualquer associação SSM que você possa ter criado ao gerenciar manualmente o agente de segurança do Amazon EC2. Para obter mais informações, consulte [Excluindo associações](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html).
+ Isso é feito para que GuardDuty possa assumir o gerenciamento das ações de SSM, independentemente de você usar agentes automatizados no nível da conta ou da instância (usando tags de inclusão ou exclusão). Para obter mais informações sobre quais ações do SSM podem ser GuardDuty tomadas, consulte[Permissões de função vinculadas ao serviço para GuardDuty](slr-permissions.md).
+ Quando você exclui uma associação de SSM que foi criada anteriormente para gerenciar o agente de segurança manualmente, pode haver um breve período de sobreposição ao GuardDuty criar uma associação de SSM para gerenciar o agente de segurança automaticamente. Durante esse período, você pode enfrentar conflitos com base no agendamento do SSM. Para obter mais informações, consulte [Programação de SSM do Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html).

**Gerencie tags de inclusão e exclusão para suas instâncias do Amazon EC2**  
+ **Tags de inclusão** — Quando você não ativa a configuração GuardDuty automática do agente, mas marca qualquer uma das suas instâncias do Amazon EC2 com uma tag de inclusão (`GuardDutyManaged`:`true`), GuardDuty cria uma associação SSM que instalará e gerenciará o agente de segurança nas instâncias do EC2 selecionadas. Esse é um comportamento esperado que ajuda você a gerenciar o agente de segurança somente em instâncias EC2 selecionadas. Para obter mais informações, consulte [Como o Monitoramento de runtime funciona com instâncias do Amazon ECS](how-runtime-monitoring-works-ec2.md).

  Para GuardDuty evitar a instalação e o gerenciamento do agente de segurança, remova a tag de inclusão dessas instâncias do EC2. Para obter mais informações, consulte [Adicionar e excluir tags](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) no *Guia do usuário do Amazon EC2*.
+ **Tags de exclusão** — Quando você quiser habilitar a configuração GuardDuty automatizada do agente para todas as instâncias do EC2 em sua conta, certifique-se de que nenhuma instância do EC2 esteja marcada com uma tag de exclusão (:). `GuardDutyManaged` `false`

# Gerenciando o agente de segurança manualmente para o recurso do Amazon EC2
<a name="managing-gdu-agent-ec2-manually"></a>

Esta seção fornece as etapas para instalar e atualizar manualmente o agente de segurança para seus recursos do Amazon EC2.

Depois de ativar o Runtime Monitoring, você precisará instalar o agente GuardDuty de segurança manualmente. Para gerenciar o agente GuardDuty de segurança manualmente, primeiro você deve criar um endpoint da Amazon VPC manualmente. Depois disso, você pode instalar o agente de segurança para que ele comece GuardDuty a receber os eventos de tempo de execução das instâncias do Amazon EC2. Ao GuardDuty lançar uma nova versão do agente para esse recurso, você pode atualizar a versão do agente em sua conta.

Os tópicos a seguir incluem as etapas para gerenciar continuamente o agente de segurança dos seus recursos do Amazon EC2.

**Topics**
+ [Pré-requisito — Criando um endpoint da Amazon VPC manualmente](creating-vpc-endpoint-ec2-agent-manually.md)
+ [Instalando o agente de segurança manualmente](installing-gdu-security-agent-ec2-manually.md)
+ [Atualização manual do agente GuardDuty de segurança para a instância do Amazon EC2](gdu-update-security-agent-ec2.md)

# Pré-requisito — Criando um endpoint da Amazon VPC manualmente
<a name="creating-vpc-endpoint-ec2-agent-manually"></a>

Antes de instalar o agente de GuardDuty segurança, você deve criar um endpoint da Amazon Virtual Private Cloud (Amazon VPC). Isso ajudará a GuardDuty receber os eventos de tempo de execução de suas instâncias do Amazon EC2.

**nota**  
Não há custo adicional para usar o endpoint da VPC.

**Para criar um endpoint da VPC do Amazon**

1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. No painel de navegação, em **Nuvem privada VPC**, escolha **Endpoints**.

1. Escolha **Criar endpoint**.

1. Na página **Criar endpoint**, para a **Categoria de serviço**, escolha **Outros serviços de endpoint**.

1. Em **Nome do serviço**, digite **com.amazonaws.*us-east-1*.guardduty-data**.

   Certifique-se de substituir *us-east-1* por seu Região da AWS. Essa deve ser a mesma região da instância do Amazon EC2 que pertence ao ID da sua AWS conta.

1. Selecione **Verificar serviço**.

1. Depois que o nome do serviço for verificado com sucesso, escolha a **VPC** em que reside sua instância. Adicione a política a seguir para restringir o uso do endpoint da Amazon VPC somente à conta especificada. Com a `Condition` da organização fornecida abaixo desta política, você pode atualizar a política a seguir para restringir o acesso ao seu endpoint. Para fornecer suporte ao endpoint do Amazon VPC para uma conta específica IDs em sua organização, consulte. [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   O ID de conta `aws:PrincipalAccount` deve corresponder à conta que contém a VPC e o endpoint da VPC. A lista a seguir mostra como compartilhar o VPC endpoint com outra conta: AWS IDs<a name="gdu-runtime-ec2-organization-restrict-access-vpc-endpoint"></a>
   + Para especificar várias contas para acessar o endpoint da VPC, substitua `"aws:PrincipalAccount: "111122223333"` pelo seguinte bloco:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
           ]
     ```

     Certifique-se de substituir a AWS conta IDs pela conta IDs das contas que precisam acessar o VPC endpoint.
   + Para permitir que todos os membros de uma organização acessem o endpoint da VPC, substitua `"aws:PrincipalAccount: "111122223333"` pela seguinte linha:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```

     Certifique-se de substituir a organização *o-abcdef0123* pelo ID da organização.
   + Para restringir o acesso para um recurso a um ID de organização, adicione seu `ResourceOrgID` à política. Para obter mais informações, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid) no *Guia do usuário do IAM*.

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Em **Configurações adicionais**, selecione **Habilitar nome DNS**.

1. Em **Sub-redes**, escolha as sub-redes em que reside sua instância.

1. Em **Grupos de segurança**, escolha um grupo de segurança que tenha a porta de entrada 443 habilitada em sua VPC (ou em sua instância do Amazon EC2). Se você ainda não tem um grupo de segurança que tenha uma porta de entrada 443 habilitada, consulte [Criar um grupo de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) no *Guia do usuário da Amazon VPC*.

   Se houver um problema ao restringir as permissões de entrada para sua VPC (ou instância), é possível usar a porta de entrada 443 de qualquer endereço IP `(0.0.0.0/0)`. No entanto, GuardDuty recomenda o uso de endereços IP que correspondam ao bloco CIDR da sua VPC. Para obter mais informações, consulte [Blocos VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) no *Guia do usuário da Amazon VPC*.

Depois de seguir as etapas, verifique em [Validando a configuração do endpoint da VPC](validate-vpc-endpoint-config-runtime-monitoring.md) se o endpoint da VPC foi configurado corretamente.

# Instalando o agente de segurança manualmente
<a name="installing-gdu-security-agent-ec2-manually"></a>

GuardDuty fornece os dois métodos a seguir para instalar o agente GuardDuty de segurança em suas instâncias do Amazon EC2. Antes de continuar, certifique-se de seguir as etapas em [Pré-requisito — Criando um endpoint da Amazon VPC manualmente](creating-vpc-endpoint-ec2-agent-manually.md).

Escolha um método de acesso preferencial para instalar o agente de segurança em seus recursos do Amazon EC2.
+ [Método 1 - Usando AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring)— Esse método exige que sua instância do Amazon EC2 seja AWS Systems Manager gerenciada.
+ [Método 2 - Usando Linux Package Managers](#install-gdu-by-rpm-scripts-runtime-monitoring)— Você pode usar esse método independentemente de suas instâncias do Amazon EC2 serem AWS Systems Manager gerenciadas ou não. Com base nas [distribuições do seu sistema operacional](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2), escolha um método apropriado para instalar scripts RPM ou Debian. Se você usa a plataforma *Fedora*, deve usar esse método para instalar o agente.

## Método 1 - Usando AWS Systems Manager
<a name="install-gdu-by-using-sys-runtime-monitoring"></a>

Para usar esse método, certifique-se de que suas instâncias do Amazon EC2 sejam AWS Systems Manager gerenciadas e, em seguida, instale o agente.

### AWS Systems Manager instância gerenciada do Amazon EC2
<a name="manage-ssm-ec2-instance-runtime-monitoring"></a>

Use as seguintes etapas para que as instâncias do Amazon EC2 sejam gerenciadas por AWS Systems Manager .
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)ajuda você a gerenciar seus AWS aplicativos e recursos end-to-end e possibilitar operações seguras em grande escala. 

  *Para gerenciar suas instâncias do Amazon EC2 com AWS Systems Manager, consulte [Configurando o Systems Manager para instâncias do Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) no AWS Systems Manager Guia do usuário.*
+ A tabela a seguir mostra os novos AWS Systems Manager documentos GuardDuty gerenciados:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)

  Para obter mais informações sobre AWS Systems Manager, consulte os documentos do [Amazon EC2 Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) no Guia *AWS Systems Manager do usuário*.
**Para servidores Debian**  
As Amazon Machine Images (AMIs) para o Debian Server fornecidas por AWS exigem que você instale o AWS Systems Manager agente (agente SSM). Você precisará realizar uma etapa adicional para instalar o agente SSM para tornar suas instâncias do Amazon EC2 Debian Server gerenciadas por SSM. Para obter informações sobre as etapas que você precisa seguir, consulte [Instalando manualmente o agente SSM nas instâncias do servidor Debian](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html) no *AWS Systems Manager Guia do Usuário*.

**Para instalar o GuardDuty agente para a instância do Amazon EC2 usando AWS Systems Manager**

1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. No painel de navegação, escolha **Documentos**

1. Em **Propriedade da Amazon**, escolha `AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`.

1. Escolha **Run Command**.

1. Insira os seguintes parâmetros Run Command
   + Ação: escolha **Instalar**.
   + Tipo de instalação: escolha **Instalar ou Desinstalar.**
   + Nome: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
   + Versão: se ela permanecer vazia, você receberá a versão mais recente do agente de GuardDuty segurança. Para obter mais informações sobre as versões de lançamento, [GuardDuty versões do agente de segurança para instâncias do Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).

1. Selecione a instância do Amazon EC2 de destino. Você pode selecionar uma ou mais instâncias do Amazon EC2. Para obter mais informações, consulte [AWS Systems Manager Executando comandos do console](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html) no *AWS Systems Manager Guia do usuário* 

1. Valide se a instalação do GuardDuty agente está íntegra. Para obter mais informações, consulte [Validando o status GuardDuty de instalação do agente de segurança](#validate-ec2-gdu-agent-installation-healthy).

## Método 2 - Usando Linux Package Managers
<a name="install-gdu-by-rpm-scripts-runtime-monitoring"></a>

Com esse método, você pode instalar o agente GuardDuty de segurança executando scripts RPM ou scripts Debian. Com base nos sistemas operacionais, selecione um método de sua preferência:
+ Use scripts RPM para instalar o agente de segurança em distribuições de sistema operacional AL2, AL2023 RedHat, CentOS ou Fedora.
+ Use scripts Debian para instalar o agente de segurança nas distribuições do sistema operacional Ubuntu ou Debian. Para obter informações sobre as distribuições suportadas dos sistemas operacionais Ubuntu e Debian, consulte [Validação dos requisitos de arquitetura](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2).

------
#### [ RPM installation ]
**Importante**  
Recomendamos verificar a assinatura RPM do agente de GuardDuty segurança antes de instalá-la em sua máquina. 

1. Verifique a assinatura RPM do agente de GuardDuty segurança

   1. 

**Prepare o modelo**

      Prepare os comandos com a chave pública apropriada, assinatura de x86\$164 RPM, assinatura de arm64 RPM e o link de acesso correspondente aos scripts de RPM hospedados nos buckets do Amazon S3. Substitua o valor do Região da AWS ID da AWS conta e da versão do GuardDuty agente para acessar os scripts de RPM.
      + **Chave pública**: 

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
        ```
      + **GuardDuty assinatura RPM do agente de segurança**:  
Assinatura de x86\$164 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
        ```  
Assinatura de arm64 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
        ```
      + **Acesse os links para os scripts de RPM no bucket do Amazon S3:**  
Link de acesso para x86\$164 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
        ```  
Link de acesso para arm64 RPM  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
        ```    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)

   1. 

**Faça download do modelo**

      No comando a seguir, para baixar a chave pública apropriada, a assinatura de x86\$164 RPM, a assinatura de arm64 RPM e o link de acesso correspondente aos scripts de RPM hospedados nos buckets do Amazon S3, certifique-se de substituir o ID da conta pelo ID Conta da AWS apropriado e a região pela sua região atual. 

      ```
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
      ```

   1. 

**Importar a chave pública**

      Use o comando a seguir para importar a chave pública para o banco de dados:

      ```
      gpg --import publickey.pem
      ```

      gpg mostra a importação executada com sucesso

      ```
      gpg: key 093FF49D: public key "AwsGuardDuty" imported
      gpg: Total number processed: 1
      gpg:               imported: 1  (RSA: 1)
      ```

   1. 

**Verifique a assinatura**

      Use o seguinte comando para verificar a assinatura

      ```
      gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
      ```

      Caso a verificação seja aprovada, será exibida uma mensagem semelhante ao resultado abaixo. Agora você pode prosseguir com a instalação do agente GuardDuty de segurança usando o RPM.

      Resultado do exemplo:

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: Good signature from "AwsGuardDuty"
      gpg: WARNING: This key is not certified with a trusted signature!
      gpg:          There is no indication that the signature belongs to the owner.
      Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D
      ```

      Caso ocorra uma falha na verificação, isso significa que a assinatura no RPM foi possivelmente adulterada. Remova a chave pública do banco de dados e repita o processo de verificação.

      Exemplo: 

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: BAD signature from "AwsGuardDuty"
      ```

      Use o seguinte comando para remover a chave pública do banco de dados:

      ```
      gpg --delete-keys AwsGuardDuty
      ```

      Agora, tente o processo de verificação novamente.

1. [Conectar com SSH via macOS ou Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)

1. Instale o agente de GuardDuty segurança usando o seguinte comando:

   ```
   sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
   ```

1. Valide se a instalação do GuardDuty agente está íntegra. Para mais informações sobre essas etapas, consulte [Validando o status GuardDuty de instalação do agente de segurança](#validate-ec2-gdu-agent-installation-healthy).

------
#### [ Debian installation ]
**Importante**  
Recomendamos verificar a assinatura do agente GuardDuty de segurança Debian antes de instalá-la em sua máquina. 

1. Verifique a assinatura do agente de GuardDuty segurança Debian

   1. 

**Prepare modelos para a chave pública apropriada, assinatura do pacote Debian amd64, assinatura do pacote Debian arm64 e o link de acesso correspondente aos scripts Debian hospedados nos buckets do Amazon S3**

      Nos modelos a seguir, substitua o valor do Região da AWS, ID da AWS conta e a versão do GuardDuty agente para acessar os scripts do pacote Debian. 
      + **Chave pública**: 

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
        ```
      + **GuardDuty assinatura Debian do agente de segurança**:  
Assinatura de amd64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
        ```  
Assinatura de arm64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
        ```
      + **Acesse os links para os scripts de Debian no bucket Amazon S3:**  
Link de acesso para o amd64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
        ```  
Link de acesso para arm64  

        ```
        s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
        ```    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)

   1. 

**Baixe a chave pública apropriada, assinatura de amd64, assinatura de arm64 e o link de acesso correspondente para os scripts do Debian hospedados nos buckets do Amazon S3**

      Nos comandos a seguir, substitua o ID da conta pelo Conta da AWS ID apropriado e a Região pela sua região atual. 

      ```
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
      aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
      ```

   1. Importar a chave pública para o banco de dados

      ```
      gpg --import publickey.pem
      ```

      gpg mostra a importação com sucesso

      ```
      gpg: key 093FF49D: public key "AwsGuardDuty" imported
      gpg: Total number processed: 1
      gpg:               imported: 1  (RSA: 1)
      ```

   1. Verifique a assinatura

      ```
      gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
      ```

      Após uma verificação bem-sucedida, você verá uma mensagem semelhante ao seguinte resultado:

      Resultado do exemplo:

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: Good signature from "AwsGuardDuty"
      gpg: WARNING: This key is not certified with a trusted signature!
      gpg:          There is no indication that the signature belongs to the owner.
      Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D
      ```

      Agora você pode prosseguir com a instalação do agente GuardDuty de segurança usando o Debian.

      No entanto, se a verificação falhar, isso significa que a assinatura no pacote Debian foi potencialmente adulterada. 

      Exemplo: 

      ```
      gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
      gpg: BAD signature from "AwsGuardDuty"
      ```

      Use o seguinte comando para remover a chave pública do banco de dados:

      ```
      gpg --delete-keys AwsGuardDuty
      ```

      Agora, repita o processo de verificação.

1. [Conectar com SSH via macOS ou Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)

1. Instale o agente de GuardDuty segurança usando o seguinte comando:

   ```
   sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
   ```

1. Valide se a instalação do GuardDuty agente está íntegra. Para mais informações sobre essas etapas, consulte [Validando o status GuardDuty de instalação do agente de segurança](#validate-ec2-gdu-agent-installation-healthy).

------

## Erros de falta de memória.
<a name="out-of-memory-error-ec2-instal-agent-manual"></a>

Se você tiver um `out-of-memory` erro ao instalar ou atualizar manualmente o agente GuardDuty de segurança do Amazon EC2, consulte. [Solução de problemas de falta de memória](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error)

## Validando o status GuardDuty de instalação do agente de segurança
<a name="validate-ec2-gdu-agent-installation-healthy"></a>

Depois de executar as etapas para instalar o agente GuardDuty de segurança, use as etapas a seguir para validar o status do agente:

**Para validar se o agente de GuardDuty segurança está íntegro**

1. [Conectar com SSH via macOS ou Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)

1. Execute o comando a seguir para verificar o status do agente GuardDuty de segurança:

   ```
   sudo systemctl status amazon-guardduty-agent
   ```

Se quiser ver os logs de instalação do agente de segurança, eles estão disponíveis em `/var/log/amzn-guardduty-agent/`.

Para exibir os logs, execute `sudo journalctl -u amazon-guardduty-agent`.

# Atualização manual do agente GuardDuty de segurança para a instância do Amazon EC2
<a name="gdu-update-security-agent-ec2"></a>

GuardDuty lança atualizações para as versões do agente de segurança. Ao gerenciar o agente de segurança manualmente, você é responsável por atualizar o agente para suas instâncias do Amazon EC2. Para obter informações sobre novas versões de agente, consulte [GuardDuty versões de lançamento do agente de segurança](runtime-monitoring-agent-release-history.md) para instâncias do Amazon EC2. Para receber notificações sobre o lançamento de uma nova versão do agente, consulte [Inscrever-se para receber anúncios do Amazon GuardDuty SNS](guardduty_sns.md).

**Para atualizar manualmente o agente de segurança para instância do Amazon EC2**  
O processo para atualizar o agente de segurança é o mesmo que instalar o agente de segurança. Dependendo do método que você usou para instalar o agente, você pode executar as etapas em [Instalando o agente de segurança manualmente](installing-gdu-security-agent-ec2-manually.md) para instâncias do Amazon EC2.  
Se você usar o [Método 1 - Usando AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring), poderá atualizar o agente de segurança usando o **comando Executar**. Use a versão do agente para a qual você deseja atualizar.  
Se usar o [Método 2 - Usando Linux Package Managers](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:), você pode usar os scripts conforme especificado na seção [Instalando o agente de segurança manualmente](installing-gdu-security-agent-ec2-manually.md). Os scripts já incluem a versão mais recente de lançamento do agente. Para obter informações sobre as versões do agente recentemente lançadas, consulte [GuardDuty versões do agente de segurança para instâncias do Amazon EC2](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history).

Depois de atualizar o agente de segurança, você pode verificar o status da instalação examinando os logs. Para obter mais informações, consulte [Validando o status GuardDuty de instalação do agente de segurança](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy).

# Gerenciamento de agente de segurança automatizado para Fargate (somente Amazon ECS)
<a name="managing-gdu-agent-ecs-automated"></a>

O Runtime Monitoring suporta o gerenciamento do agente de segurança para seus clusters do Amazon ECS (AWS Fargate) somente por meio GuardDuty de. Não há suporte para gerenciar o agente de segurança manualmente nos clusters do Amazon ECS.

Antes de prosseguir com as etapas nesta seção, certifique-se de seguir [Pré-requisitos para suporte (somente para AWS Fargate Amazon ECS)](prereq-runtime-monitoring-ecs-support.md).

Com base no[Abordagens para gerenciar agentes GuardDuty de segurança nos recursos do Amazon ECS-Fargate](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters), escolha um método preferido para habilitar o agente GuardDuty automatizado para seus recursos.

**Topics**

## Configurando o GuardDuty agente para um ambiente com várias contas
<a name="ecs-fargate-manage-agent-multiple-accounts"></a>

Em um ambiente de várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automática de agentes para as contas membros e gerenciar a configuração automática de agentes para clusters do Amazon ECS que pertencem às contas membros em sua organização. Uma conta de GuardDuty membro não pode modificar essa configuração. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte [Gerenciando várias contas em GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

### Habilitando a configuração automatizada do agente para a conta de GuardDuty administrador delegado
<a name="ecs-enable-automated-agent-config-delegatedadmin"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

Se você escolher **Habilitar para todas as contas** para Monitoramento de runtime, terá as seguintes opções:
+ Escolha **Ativar para todas as contas** na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todas as tarefas do Amazon ECS que forem lançadas.
+ Escolha **Configurar contas manualmente**.

Se você escolheu **Configurar contas manualmente** na seção Monitoramento de runtime, faça o seguinte:

1. Selecione **Configurar contas manualmente** na seção Configuração de agente automatizado.

1. Escolha **Habilitar** na seção **Conta de GuardDuty administrador delegado (esta conta)**.

Escolha **Salvar**.

Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

Nas etapas de atualização do serviço, consulte os seguintes recursos:
+ [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
+ [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
+ [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.

1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. 
**nota**  
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.

   Na guia **Configuração**, escolha **Habilitar** na **Configuração do automatizada do agente**.

   Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.

1. Escolha **Salvar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.

1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Ao usar tags de inclusão para seus clusters do Amazon ECS, você não precisa habilitar explicitamente o GuardDuty agente por meio da configuração automática do agente.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------

### Habilitar automaticamente para todas as contas-membro
<a name="ecs-auto-enable-all-member-accounts"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

As etapas a seguir pressupõem que você escolheu **Habilitar para todas as contas** na seção Monitoramento de runtime.

1. Escolha **Ativar para todas as contas** na seção Configuração automática do agente. GuardDuty implantará e gerenciará o agente de segurança para todas as tarefas do Amazon ECS que forem lançadas.

1. Escolha **Salvar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.

1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. 
**nota**  
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.

   Na guia **Configuração**, escolha **Editar**.

1. Escolha **Habilitar para todas as contas** na seção **Configuração automatizada do agente**

   Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.

1. Escolha **Salvar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]

Independentemente de como você escolhe habilitar o Monitoramento de runtime, as seguintes etapas ajudarão a monitorar as tarefas seletivas do Amazon ECS Fargate para todas as contas-membro na sua organização.

1. Não habilite nenhuma configuração na seção Configuração de agente automatizado Mantenha a configuração do Monitoramento de runtime igual à selecionada na etapa anterior.

1. Escolha **Salvar**.

1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Ao usar tags de inclusão para seus clusters do Amazon ECS, você não precisa habilitar explicitamente o **gerenciamento automático de GuardDuty agentes**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------

### Habilitação da configuração de agente automatizado para contas-membro ativas existentes
<a name="ecs-enable-existing-active-member-accounts"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

1. Na página Monitoramento de runtime, na guia **Configuração**, é possível visualizar o status atual da Configuração de agente automatizado.

1. No painel Configuração de agente automatizado, na seção **Contas-membro ativas**, escolha **Ações**.

1. Em **Ações**, escolha **Habilitar para todas as contas-membro ativas existentes**. 

1. Escolha **Confirmar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.

1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. 
**nota**  
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.

   Na guia **Configuração**, na seção Configuração automatizada do agente, em **Contas-membro ativas**, escolha **Ações**.

1. Em **Ações**, escolha **Habilitar para todas as contas-membro ativas**.

   Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.

1. Escolha **Confirmar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.

1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Ao usar tags de inclusão para seus clusters do Amazon ECS, não é preciso habilitar explicitamente a **Configuração automatizada do agente**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------

### Habilitar automaticamente a Configuração automatizada do agente para novos membros
<a name="ecs-auto-enable-new-members-only"></a>

------
#### [ Manage for all Amazon ECS clusters (account level) ]

1. Na página Monitoramento de runtime, escolha **Editar** para atualizar a configuração existente.

1. Na seção Configuração automatizada do agente, selecione **Habilitar automaticamente para novas contas de membros**.

1. Escolha **Salvar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.

1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. 
**nota**  
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar a configuração automática do agente para sua conta; caso contrário, o contêiner GuardDuty auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.

   Na guia **Configuração**, selecione **Habilitar automaticamente para novas contas-membro** na seção **Configuração automatizada do agente**.

   Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.

1. Escolha **Salvar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.

1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Ao usar tags de inclusão para seus clusters do Amazon ECS, não é preciso habilitar explicitamente a **Configuração automatizada do agente**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------

### Habilitando seletivamente a Configuração automatizada de agente para contas-membro ativas
<a name="ecs-enable-gdu-agent-individual-active-members"></a>

------
#### [ Manage for all Amazon ECS (account level) ]

1. Na página Contas, selecione as contas para as quais deseja habilitar a Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate). Você pode selecionar várias contas. Certifique-se de que as contas selecionadas nesta etapa já estejam habilitadas com Monitoramento de runtime.

1. Em **Editar planos de proteção**, escolha a opção apropriada para habilitar a **Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate)**.

1. Escolha **Confirmar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]

1. Adicione uma tag a esse cluster do Amazon ECS com o par chave-valor como `GuardDutyManaged`-`false`.

1. Impeça a modificação de tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------

1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. 
**nota**  
Sempre adicione a tag de exclusão aos seus clusters do Amazon ECS antes de ativar o gerenciamento automático do GuardDuty agente para sua conta; caso contrário, o GuardDuty contêiner auxiliar será anexado a todos os contêineres nas tarefas do Amazon ECS que forem iniciadas.

   Na página Contas, selecione as contas para as quais deseja habilitar a Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate). Você pode selecionar várias contas. Certifique-se de que as contas selecionadas nesta etapa já estejam habilitadas com Monitoramento de runtime.

   Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.

1. Em **Editar planos de proteção**, escolha a opção apropriada para habilitar a **Configuração automatizada do agente de Monitoramento de runtime (ECS-Fargate)**.

1. Escolha **Salvar**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]

1. Certifique-se de não habilitar a **Configuração automatizada de agente** (ou **Configuração automatizada de agente de Monitoramento de runtime (ECS-Fargate)**) para as contas selecionadas que têm os clusters do Amazon ECS que deseja monitorar. 

1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.

1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "Null": {
                       "ecs:ResourceTag/GuardDutyManaged": false
                   }
               }
           },
           {
               "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
               "Effect": "Deny",
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],
               "Resource": [
                   "*"
               ],
               "Condition": {
                   "StringNotEquals": {
                       "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },
                   "ForAnyValue:StringEquals": {
                       "aws:TagKeys": [
                           "GuardDutyManaged"
                       ]   
                   }   
               }
           },
           {       
               "Sid": "DenyModifyTagsIfPrinTagNotExists",
               "Effect": "Deny", 
               "Action": [
                   "ecs:TagResource",
                   "ecs:UntagResource"
               ],      
               "Resource": [
                   "*"     
               ],      
               "Condition": {
                   "StringNotEquals": {
                       "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                   },      
                   "Null": {
                       "aws:PrincipalTag/GuardDutyManaged": true
                   }       
               }       
           }
       ]
   }
   ```

------
**nota**  
Ao usar tags de inclusão para seus clusters do Amazon ECS, não é preciso habilitar explicitamente a **Configuração automatizada do agente**.

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

------

## Configurando o GuardDuty agente para uma conta independente
<a name="ecs-fargate-manage-agent-standalone-account"></a>

1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. Na guia **Configuração**:

   1. 

**Para gerenciar a Configuração automatizada de agente para todos os clusters do Amazon ECS (nível da conta)**

      Selecione **Habilitar** na seção **Configuração automatizada do agente** para **AWS Fargate (apenas ECS)**. Quando uma nova tarefa do Fargate Amazon ECS for iniciada, GuardDuty gerenciará a implantação do agente de segurança.

      1. Escolha **Salvar**.

   1. 

**Para gerenciar a Configuração automatizada do agente excluindo alguns dos clusters do Amazon ECS (nível de cluster)**

      1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja excluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`false`.

      1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

         ```
         {
             "Version":"2012-10-17",		 	 	 
             "Statement": [
                 {
                     "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "Null": {
                             "ecs:ResourceTag/GuardDutyManaged": false
                         }
                     }
                 },
                 {
                     "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "ForAnyValue:StringEquals": {
                             "aws:TagKeys": [
                                 "GuardDutyManaged"
                             ]   
                         }   
                     }
                 },
                 {       
                     "Sid": "DenyModifyTagsIfPrinTagNotExists",
                     "Effect": "Deny", 
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],      
                     "Resource": [
                         "*"     
                     ],      
                     "Condition": {
                         "StringNotEquals": {
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },      
                         "Null": {
                             "aws:PrincipalTag/GuardDutyManaged": true
                         }       
                     }       
                 }
             ]
         }
         ```

------

      1. Na guia **Configuração**, escolha **Habilitar** na seção **Configuração automatizada do agente**.
**nota**  
Sempre adicione a tag de exclusão ao seu cluster do Amazon ECS antes de ativar o gerenciamento automático do GuardDuty agente para sua conta; caso contrário, o agente de segurança será implantado em todas as tarefas que forem iniciadas no cluster correspondente do Amazon ECS.

         Para os clusters do Amazon ECS que não foram excluídos, GuardDuty gerenciaremos a implantação do agente de segurança no contêiner auxiliar.

      1. Escolha **Salvar**.

   1. 

**Para gerenciar a Configuração automatizada de agente incluindo alguns dos clusters do Amazon ECS (nível de cluster)**

      1. Adicione uma tag a um cluster do Amazon ECS para o qual você deseja incluir todas as tarefas. O par chave-valor deve ser `GuardDutyManaged`-`true`.

      1. Impeça a modificação dessas tags, exceto pelas entidades confiáveis. A política fornecida em [Impedir que as tags sejam modificadas, exceto pelos princípios autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) no *Guia do usuário AWS Organizations * foi modificada para ser aplicável aqui.

------
#### [ JSON ]

****  

         ```
         {
             "Version":"2012-10-17",		 	 	 
             "Statement": [
                 {
                     "Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "Null": {
                             "ecs:ResourceTag/GuardDutyManaged": false
                         }
                     }
                 },
                 {
                     "Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
                     "Effect": "Deny",
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],
                     "Resource": [
                         "*"
                     ],
                     "Condition": {
                         "StringNotEquals": {
                             "aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },
                         "ForAnyValue:StringEquals": {
                             "aws:TagKeys": [
                                 "GuardDutyManaged"
                             ]   
                         }   
                     }
                 },
                 {       
                     "Sid": "DenyModifyTagsIfPrinTagNotExists",
                     "Effect": "Deny", 
                     "Action": [
                         "ecs:TagResource",
                         "ecs:UntagResource"
                     ],      
                     "Resource": [
                         "*"     
                     ],      
                     "Condition": {
                         "StringNotEquals": {
                             "aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
                         },      
                         "Null": {
                             "aws:PrincipalTag/GuardDutyManaged": true
                         }       
                     }       
                 }
             ]
         }
         ```

------

1. Quando você GuardDuty deseja monitorar tarefas que fazem parte de um serviço, é necessária a implantação de um novo serviço após a ativação do Runtime Monitoring. Se a última implantação de um serviço ECS específico foi iniciada antes de você habilitar o Monitoramento de runtime, você pode reiniciar o serviço ou atualizar o serviço usando `forceNewDeployment`.

   Nas etapas de atualização do serviço, consulte os seguintes recursos:
   + [Atualização de um serviço Amazon ECS usando o console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html) no *Guia do desenvolvedor Amazon Elastic Container Service*.
   + [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html)na *Referência de API do Amazon Elastic Container Service*.
   + [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html) na *Referência de comando da AWS CLI *.

# Gerenciando automaticamente o agente de segurança para recursos do Amazon EKS
<a name="managing-gdu-agent-eks-automatically"></a>

O Runtime Monitoring suporta a ativação do agente de segurança por meio de configuração GuardDuty automática e manual. Esta seção fornece as etapas para habilitar a configuração de agente automatizado para clusters do Amazon EKS.

Antes de continuar, certifique-se de que você tenha seguido o [Pré-requisitos para o suporte ao cluster do Amazon EKS](prereq-runtime-monitoring-eks-support.md).

Com base em sua abordagem preferida sobre como [Gerencie o agente de segurança por meio de GuardDuty](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto), escolha adequadamente as etapas nas seções a seguir.

## Configuração de agente automatizado para ambiente de várias contas
<a name="eks-runtime-monitoring-agent-manage-multiple-account"></a>

Em ambientes com várias contas, somente a conta de GuardDuty administrador delegado pode ativar ou desativar a configuração automatizada do agente para as contas dos membros e gerenciar o agente automatizado para os clusters EKS pertencentes às contas dos membros em sua organização. As contas GuardDuty dos membros não podem modificar essa configuração em suas contas. A conta de GuardDuty administrador delegado gerencia suas contas de membros usando AWS Organizations. Para obter mais informações sobre ambientes com várias contas, consulte [Gerenciar de várias contas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

### Configurando a configuração automatizada do agente para a conta de administrador delegado GuardDuty
<a name="eks-runtime-configure-agent-delegated-admin"></a>


| **Abordagem preferida para gerenciar o agente GuardDuty de segurança** | **Etapas** | 
| --- | --- | 
|  Gerencie o agente de segurança por meio de GuardDuty (Monitorar todos os clusters do EKS)  | Se escolher **Habilitar para todas as contas** na seção Monitoramento de runtime, você terá as seguintes opções: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Se você escolheu **Configurar contas manualmente** na seção Monitoramento de runtime, faça o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) Escolha **Salvar**.  | 
| Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão) | Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Monitorar clusters do EKS seletivos usando tags de inclusão  | Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão você a monitorar clusters do EKS seletivos em sua conta: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Gerencie o agente GuardDuty de segurança manualmente | Independentemente de como optou por habilitar o Monitoramento de runtime, é possível gerenciar o agente de segurança manualmente para seus clusters do EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) | 

### Habilitar automaticamente o agente automatizado para todas as contas de membros
<a name="eks-runtime-monitoring-agent-auto-enable-existing-member-accounts"></a>

**nota**  
Pode levar até 24 horas para atualizar a configuração das contas-membro.


| **Abordagem preferida para gerenciar o agente GuardDuty de segurança** | **Etapas** | 
| --- | --- | 
|  Gerencie o agente de segurança por meio de GuardDuty (Monitorar todos os clusters do EKS)  |  Este tópico trata da habilitação do Monitoramento de runtime para todas as contas-membro e, portanto, as etapas a seguir pressupõem que você deve ter escolhido **Habilitar para todas as contas** na seção Monitoramento de runtime. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão) | Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Monitorar clusters do EKS seletivos usando tags de inclusão  | Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão você a monitorar clusters do EKS seletivos para todas as contas-membro em sua organização: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Gerencie o agente GuardDuty de segurança manualmente | Independentemente de como tenha optado por habilitar o Monitoramento de runtime, é possível gerenciar o agente de segurança manualmente para seus clusters do EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 

### Habilitando o agente automatizado para todas as contas de membros ativas existentes
<a name="eks-runtime-monitoring-agent-all-active-members"></a>

**nota**  
Pode levar até 24 horas para atualizar a configuração das contas-membro.

**Para gerenciar o agente GuardDuty de segurança para contas de membros ativos existentes em sua organização**
+  GuardDuty Para receber os eventos de tempo de execução dos clusters EKS que pertencem às contas de membros ativos existentes na organização, você deve escolher uma abordagem preferida para gerenciar o agente de GuardDuty segurança desses clusters EKS. Para obter mais informações sobre essas abordagens, consulte [Abordagens para gerenciar agentes GuardDuty de segurança em clusters do Amazon EKS](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)

### Habilite automaticamente a configuração de agente automatizado para novos membros
<a name="eks-runtime-monitoring-agent-auto-enable-new-members"></a>


| **Abordagem preferida para gerenciar o agente GuardDuty de segurança** | **Etapas** | 
| --- | --- | 
|  Gerencie o agente de segurança por meio de GuardDuty (Monitorar todos os clusters do EKS)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
| Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão) | Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Monitorar clusters do EKS seletivos usando tags de inclusão  | Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão a monitorar clusters do EKS seletivos para as novas contas-membro em sua organização. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Gerencie o agente GuardDuty de segurança manualmente  | Independentemente de como optou por habilitar o Monitoramento de runtime, é possível gerenciar o agente de segurança manualmente para seus clusters do EKS. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 

### Configurando seletivamente o agente automatizado para contas-membro ativas
<a name="eks-runtime-monitoring-agent-selectively-member-accounts"></a>


| **Abordagem preferida para gerenciar o agente GuardDuty de segurança** | **Etapas** | 
| --- | --- | 
|  Gerencie o agente de segurança por meio de GuardDuty (Monitorar todos os clusters do EKS)  | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) | 
|  Monitorar todos os clusters do EKS, mas excluir alguns deles (usando tags de exclusão)  | Nos procedimentos a seguir, escolha um dos cenários aplicáveis a você. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Monitorar clusters do EKS seletivos usando tags de inclusão  |  Independentemente de como você escolheu habilitar o Monitoramento de runtime, as etapas a seguir ajudarão a monitorar clusters do EKS seletivos que pertencem às contas selecionadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 
|  Gerencie o agente GuardDuty de segurança manualmente  | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)  | 

## Configuração de agente automatizado para conta autônoma
<a name="eks-runtime-monitoring-agent-manage-standalone-account"></a>

Uma conta autônoma é responsável pela decisão de ativar ou desativar um plano de proteção Conta da AWS em uma conta específica Região da AWS. 

Se sua conta estiver associada a uma conta de GuardDuty administrador por meio AWS Organizations ou pelo método de convite, esta seção não se aplica à sua conta. Para obter mais informações, consulte [Habilitando o Monitoramento de runtime do EKS para ambientes com várias contas](enable-runtime-monitoring-multiple-acc-env.md).

Depois de ativar o Runtime Monitoring, certifique-se de instalar o agente GuardDuty de segurança por meio de configuração automatizada ou implantação manual. Como parte da conclusão de todas as etapas listadas no procedimento a seguir, certifique-se de instalar o agente de segurança.

Com base em sua prioridade de monitorar todos os recursos do Amazon EKS ou recursos seletivos, escolha um método de acordo com sua preferência e siga as etapas da tabela a seguir.

1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

1. No painel de navegação, escolha **Monitoramento de runtime**.

1. Na guia **Configuração**, selecione **Habilitar** para habilitar a configuração de agente automático para sua conta.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)

# Como gerenciar o agente de segurança manualmente para o cluster Amazon EKS
<a name="managing-gdu-agent-eks-manually"></a>

Esta seção descreve como você pode gerenciar seu agente complementar (GuardDuty agente) do Amazon EKS depois de ativar o Runtime Monitoring (ou EKS Runtime Monitoring). Para usar o Monitoramento de runtime, você deve habilitar o Monitoramento de runtime e configurar o complemento do Amazon EKS, `aws-guardduty-agent`. Você precisa executar as duas etapas GuardDuty para detectar e gerar ameaças em potencial[GuardDuty Tipos de descoberta de monitoramento de tempo de execução](findings-runtime-monitoring.md).

Para gerenciar o agente manualmente, é preciso criar um endpoint da VPC como pré-requisito. Isso ajuda a GuardDuty receber os eventos de tempo de execução. Depois disso, você pode instalar o agente de segurança para que ele comece GuardDuty a receber os eventos de tempo de execução dos recursos do Amazon EKS. Ao GuardDuty lançar uma nova versão do agente para esse recurso, você pode atualizar a versão do agente em sua conta.

**Topics**
+ [Pré-requisito — Como criar um endpoint da VPC da Amazon](eksrunmon-prereq-deploy-security-agent.md)
+ [Instalação manual do agente de GuardDuty segurança nos recursos do Amazon EKS](eksrunmon-deploy-security-agent.md)
+ [Atualização manual do agente de segurança para recursos do Amazon EKS](eksrunmon-update-security-agent.md)

# Pré-requisito — Como criar um endpoint da VPC da Amazon
<a name="eksrunmon-prereq-deploy-security-agent"></a>

Antes de instalar o agente de GuardDuty segurança, você deve criar um endpoint da Amazon Virtual Private Cloud (Amazon VPC). Isso ajudará a GuardDuty receber os eventos de tempo de execução dos seus recursos do Amazon EKS.

**nota**  
Não há custo adicional para usar o endpoint da VPC.

Escolha um método de acesso preferido para criar um endpoint da Amazon VPC.

------
#### [ Console ]

**Para criar um endpoint da VPC**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No menu à de navegação, em **Nuvem privada virtual**, escolha **Endpoints**.

1. Escolha **Criar endpoint**.

1. Na página **Criar endpoint**, para a **Categoria de serviço**, escolha **Outros serviços de endpoint**. 

1. Em **Nome do serviço**, digite **com.amazonaws.*us-east-1*.guardduty-data**.

   Certifique-se de *us-east-1* substituir pela região correta. Essa deve ser a mesma região do cluster EKS que pertence ao seu Conta da AWS ID. 

1. Selecione **Verificar serviço**. 

1. Depois que o nome do serviço for verificado com sucesso, escolha a **VPC** em que reside o cluster. Adicione a política a seguir para restringir o uso do endpoint da VPC somente à conta especificada. Com a `Condition` da organização fornecida abaixo desta política, você pode atualizar a política a seguir para restringir o acesso ao seu endpoint. Para fornecer suporte de VPC endpoint para uma conta específica IDs em sua organização, consulte. [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org)

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Allow",
   			"Principal": "*"
   		},
   		{
   			"Condition": {
   				"StringNotEquals": {
   					"aws:PrincipalAccount": "111122223333" 
   				}
   			},
   			"Action": "*",
   			"Resource": "*",
   			"Effect": "Deny",
   			"Principal": "*"
   		}
   	]
   }
   ```

------

   O ID de conta `aws:PrincipalAccount` deve corresponder à conta que contém a VPC e o endpoint da VPC. A lista a seguir mostra como compartilhar o VPC endpoint com outros: Conta da AWS IDs

**Condição da organização para restringir o acesso ao endpoint**
   + Para especificar várias contas para acessar o endpoint da VPC, substitua `"aws:PrincipalAccount": "111122223333"` pelo seguinte:

     ```
     "aws:PrincipalAccount": [
               "666666666666",
               "555555555555"
         ]
     ```
   + Para permitir que todos os membros de uma organização acessem o endpoint da VPC, substitua `"aws:PrincipalAccount": "111122223333"` pelo seguinte:

     ```
     "aws:PrincipalOrgID": "o-abcdef0123"
     ```
   + Para restringir o acesso para um recurso a um ID de organização, adicione seu `ResourceOrgID` à política.

     Para obter mais informações, consulte [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid).

     ```
     "aws:ResourceOrgID": "o-abcdef0123"
     ```

1. Em **Configurações adicionais**, selecione **Habilitar nome DNS**.

1. Em **Sub-redes**, escolha as sub-redes em que reside seu cluster.

1. Em **Grupos de segurança**, escolha um grupo de segurança que tenha a porta de entrada 443 habilitada em sua VPC (ou em seu cluster do EKS). [Crie um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) se ainda não tiver um com uma porta de entrada 443 habilitada.

   Se houver um problema ao restringir as permissões de entrada para sua VPC (ou instância), é possível usar a porta de entrada 443 de qualquer endereço IP `(0.0.0.0/0)`. No entanto, GuardDuty recomenda o uso de endereços IP que correspondam ao bloco CIDR da sua VPC. Para obter mais informações, consulte [Blocos VPC CIDR](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html) no *Guia do usuário da Amazon VPC*.

------
#### [ API/CLI ]

**Para criar um endpoint da VPC**
+ Invocar. [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)
+ Use os valores a seguir para os parâmetros.
  + Em **Nome do serviço**, digite **com.amazonaws.*us-east-1*.guardduty-data**.

    Certifique-se de *us-east-1* substituir pela região correta. Essa deve ser a mesma região do cluster EKS que pertence ao seu Conta da AWS ID. 
  + Para [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html), habilite a opção de DNS privado configurando-a como. `true` 
+ Para AWS Command Line Interface, veja [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html).

------

Depois de seguir as etapas, verifique em [Validando a configuração do endpoint da VPC](validate-vpc-endpoint-config-runtime-monitoring.md) se o endpoint da VPC foi configurado corretamente.

# Instalação manual do agente de GuardDuty segurança nos recursos do Amazon EKS
<a name="eksrunmon-deploy-security-agent"></a>

Esta seção descreve como você pode implantar o agente GuardDuty de segurança pela primeira vez em clusters EKS específicos. Antes de prosseguir com esta seção, verifique se você já configurou os pré-requisitos e habilitou o Monitoramento de runtime para suas contas. O agente GuardDuty de segurança (complemento EKS) não funcionará se você não ativar o Runtime Monitoring. 

Escolha seu método de acesso preferido para implantar o agente de GuardDuty segurança pela primeira vez.

------
#### [ Console ]

1. Abra o console do Amazon EKS em [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Escolha o **Nome do cluster**.

1. Escolha a guia **Add-ons** (Complementos).

1. Escolha **Obter mais complementos**.

1. Na página **Selecionar complementos**, escolha **Amazon GuardDuty EKS Runtime Monitoring**.

1. GuardDuty recomenda escolher a **versão mais recente e padrão do** agente.

1. Use as configurações padrão na página **Definir configurações do complemento selecionado**. Se o **status** do seu complemento EKS for **Requer ativação**, escolha **Ativar GuardDuty**. Essa ação abrirá o GuardDuty console para configurar o Runtime Monitoring para suas contas.

1. Depois de configurar o Monitoramento de runtime para suas contas, volte para o console do Amazon EKS. O **Status** do seu complemento do EKS deveria ter mudado para **Pronto para instalar**. 

1. 

**(Opcional) Fornecendo o esquema de configuração do complemento do EKS**

   Para a versão complementar, se você escolher a **versão** **1.5.0 ou superior**, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter informações sobre intervalos de parâmetros, consulte [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Expanda as **Configurações opcionais** para visualizar os parâmetros configuráveis e seus valores e formato esperados.

   1. Defina os parâmetros. Os valores devem estar dentro do intervalo fornecido em[Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Escolha **Salvar alterações** para criar o complemento com base na configuração avançada.

   1. Para o **Método de resolução de conflitos**, a opção escolhida será usada para resolver um conflito quando você atualizar o valor de um parâmetro para um valor não padrão. Para obter mais informações sobre as opções listadas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) na *Referência da API do Amazon EKS*.

1. Escolha **Próximo**.

1. Na página **Revisar e criar**, verifique as rotas e escolha **Criar rotas**.

1. Navegue de volta aos detalhes do cluster e selecione a guia **Recursos**. 

1. Você pode ver os novos pods com o prefixo **aws-guardduty-agent**. 

------
#### [ API/CLI ]

Você pode configurar o agente complementar do Amazon EKS (`aws-guardduty-agent`) usando uma das seguintes opções:
+ Corra [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)para sua conta.
+ 
**nota**  
Para o complemento`version`, se você escolher a **versão 1.5.0 ou superior**, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter mais informações, consulte [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

  Use os seguintes valores para os parâmetros de solicitação:
  + Em `addonName`, digite `aws-guardduty-agent`.

    Você pode usar o AWS CLI exemplo a seguir ao usar valores configuráveis compatíveis com versões complementares `v1.5.0` ou superiores. Certifique-se de substituir os valores do espaço reservado destacados em vermelho e os `Example.json` associados aos valores configurados.

    ```
    aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
    ```  
**Example.json**  

    ```
    {
    	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
    	"dnsPolicy": "Default",
    	"resources": {
    		"requests": {
    			"cpu": "237m",
    			"memory": "512Mi"
    		},
    		"limits": {
    			"cpu": "2000m",
    			"memory": "2048Mi"
    		}
    	}	
    }
    ```
  + Para obter informações sobre a `addonVersion` compatível, consulte [Versões do Kubernetes suportadas pelo agente de segurança GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).
+ Como alternativa, você pode usar AWS CLI. Para obter mais informações, consulte [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html).

------

**Nomes DNS privados para endpoint da VPC**  
Por padrão, o agente de segurança resolve e se conecta ao nome DNS privado do endpoint da VPC. Para um endpoint não FIPS, seu DNS privado aparecerá no seguinte formato:  
Endpoint não FIPS — `guardduty-data.us-east-1.amazonaws.com`  
O Região da AWS,*us-east-1*, mudará com base na sua região.

# Atualização manual do agente de segurança para recursos do Amazon EKS
<a name="eksrunmon-update-security-agent"></a>

Ao gerenciar o agente GuardDuty de segurança manualmente, você é responsável por atualizá-lo para sua conta. Para receber notificações sobre novas versões do agente, inscreva-se em um RSS feed para [GuardDuty versões de lançamento do agente de segurança](runtime-monitoring-agent-release-history.md).

Atualize o agente de segurança para a versão mais recente para se beneficiar do suporte e das melhorias adicionais. Se sua versão atual do agente estiver chegando ao fim do suporte padrão, para continuar usando o Monitoramento de Runtime (ou Monitoramento de Runtime do EKS), atualize para a seguinte versão disponível do agente ou para a mais recente. 

**Pré-requisito**  
Antes de atualizar a versão do agente de segurança, verifique se a versão do agente que planeja usar agora é compatível com sua versão do Kubernetes. Para obter mais informações, consulte [Versões do Kubernetes suportadas pelo agente de segurança GuardDuty](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version).

------
#### [ Console ]

1. Abra o console do Amazon EKS em [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. Escolha o **Nome do cluster**.

1. Em **Informações do cluster**, escolha a guia **Complementos**.

1. Na guia **Complementos**, selecione **Monitoramento de tempo de execução do GuardDuty EKS**.

1. Selecione **Editar** para atualizar os detalhes do agente.

1. Na página **Configurar o monitoramento de tempo de execução do GuardDuty EKS**, atualize os detalhes.

1. 

**(Opcional) Atualização das configurações opcionais**

   Se sua **versão** do complemento do EKS for *1.5.0* ou superior, você também pode atualizar o esquema de configurações do complemento.

   1. Expanda **Configurações opcionais** para ver o esquema de configuração.

   1. Atualize os valores dos parâmetros com base no intervalo fornecido em [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

   1. Escolha **Salvar alterações** para iniciar a atualização.

   1. Para o **Método de resolução de conflitos**, a opção escolhida será usada para resolver um conflito quando você atualizar o valor de um parâmetro para um valor não padrão. Para obter mais informações sobre as opções listadas, consulte [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) na *Referência da API do Amazon EKS*.

------
#### [ API/CLI ]

Para atualizar o agente GuardDuty de segurança para seus clusters do Amazon EKS, consulte [Atualização de um complemento](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on). 

**nota**  
Para o complemento`version`, se você escolher a **versão 1.5.0 ou superior**, o Runtime Monitoring oferece suporte à configuração de parâmetros específicos do agente. GuardDuty Para obter informações sobre intervalos de parâmetros, consulte [Configurar parâmetros do complemento do EKS](guardduty-configure-security-agent-eks-addon.md).

Você pode usar o AWS CLI exemplo a seguir ao usar valores configuráveis compatíveis com as versões complementares *1.5.0* e superiores. Certifique-se de substituir os valores do espaço reservado destacados em vermelho e os `Example.json` associados aos valores configurados.

```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```

**Example.json**  

```
{
	"priorityClassName": "aws-guardduty-agent.priorityclass-high",
	"dnsPolicy": "Default",
	"resources": {
		"requests": {
			"cpu": "237m",
			"memory": "512Mi"
		},
		"limits": {
			"cpu": "2000m",
			"memory": "2048Mi"
		}
	}	
}
```

------

Se a versão do complemento Amazon EKS for 1.5.0 ou superior e você tiver configurado o esquema de complemento, poderá verificar se os valores aparecem corretamente ou não para o seu cluster. Para obter mais informações, consulte [Verificação das atualizações do esquema de configuração](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param).

# Configurar parâmetros do agente de GuardDuty segurança (complemento) para o Amazon EKS
<a name="guardduty-configure-security-agent-eks-addon"></a>

Você pode configurar parâmetros específicos do seu agente de GuardDuty segurança para o Amazon EKS. Esse suporte está disponível para a versão 1.5.0 e superior do GuardDuty Security Agent. Para obter informações sobre as versões mais recentes do complemento, consulte [GuardDuty versões do agente de segurança para recursos do Amazon EKS](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history).

**Por que devo atualizar o esquema de configuração do agente de segurança**  
O esquema de configuração do agente GuardDuty de segurança é o mesmo em todos os contêineres em seus clusters do Amazon EKS. Quando os valores padrão não estiverem alinhados com os workloads e o tamanho da instância associados, considere definir as configurações de CPU, de memória, `PriorityClass` e configurações de `dnsPolicy`. Independentemente de como você gerencia o GuardDuty agente para seus clusters do Amazon EKS, você pode configurar ou atualizar a configuração existente desses parâmetros.

## Comportamento de configuração do agente automatizado com parâmetros configurados
<a name="preserve-config-param-eks-addon-auto-managed"></a>

Quando GuardDuty gerencia o agente de segurança (complemento EKS) em seu nome, ele atualiza o complemento, conforme necessário. GuardDuty definirá o valor dos parâmetros configuráveis como um valor padrão. No entanto, ainda é possível atualizar os parâmetros para o valor desejado. Se isso levar a um conflito, a opção padrão para [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) é `None`.

## Parâmetros e valores configuráveis
<a name="gdu-eks-addon-configure-parameters-values"></a>

Para obter informações sobre as etapas de configuração dos parâmetros do complemento, consulte:
+ [Instalação manual do agente de GuardDuty segurança nos recursos do Amazon EKS](eksrunmon-deploy-security-agent.md) ou
+ [Atualização manual do agente de segurança para recursos do Amazon EKS](eksrunmon-update-security-agent.md)

As tabelas a seguir fornecem os intervalos e valores que se pode usar para implantar o complemento Amazon EKS manualmente ou atualizar as configurações existentes do complemento.

**Configurações da CPU**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**Memory Settings**      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)

**Configurações do `PriorityClass`**  
Quando GuardDuty cria um complemento do Amazon EKS para você, o atribuído `PriorityClass` é`aws-guardduty-agent.priorityclass`. Isso significa que nenhuma ação será tomada com base na prioridade do pod do agente. É possível configurar esse parâmetro do complemento escolhendo uma das opções `PriorityClass` a seguir:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes fornece essas duas opções `PriorityClass` – `system-cluster-critical` e `system-node-critical`. Para obter mais informações, consulte a [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)documentação do *Kubernetes*.

**Configurações do `dnsPolicy`**  
Escolha uma das seguintes opções de política DNS que o Kubernetes suporta. Quando nenhuma configuração é especificada, `ClusterFirst` é usado como o valor padrão.  
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
Para obter informações sobre essas políticas, consulte [Política de DNS de Pod](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy) na *Documentação do Kubernetes*.

## Verificação das atualizações do esquema de configuração
<a name="gdu-verify-eks-add-on-configuration-param"></a>

Depois de configurar os parâmetros, execute as etapas a seguir para verificar se o esquema de configuração foi atualizado:

1. Abra o console do Amazon EKS em [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters).

1. No painel de navegação, escolha **Clusters**.

1. Na página **Clusters**, selecione o **Nome do cluster** para o qual você deseja verificar as atualizações.

1. Escolha a guia **Recursos**.

1. No painel **Tipos de recursos**, em **Cargas de trabalho, escolha**. **DaemonSets**

1. Selecione **aws-guardduty-agent**.

1. Na **aws-guardduty-agent**página, escolha **Visualização bruta para ver** a resposta JSON não formatada. Verifique se os parâmetros configuráveis exibem o valor informado.

Depois de verificar, mude para o GuardDuty console. Selecione o correspondente Região da AWS e visualize o status da cobertura dos seus clusters do Amazon EKS. Para obter mais informações, consulte [Cobertura de runtime e solução de problemas para clusters do Amazon EKS](eks-runtime-monitoring-coverage.md).

# Validando a configuração do endpoint da VPC
<a name="validate-vpc-endpoint-config-runtime-monitoring"></a>

Depois de instalar o agente de segurança manualmente ou por meio de configuração GuardDuty automatizada, você pode usar este documento para validar a configuração do VPC endpoint. Você também pode usar essas etapas após solucionar qualquer [problema de cobertura de runtime](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html) para um tipo de recurso. Você pode garantir que as etapas funcionaram conforme o esperado e que o status da cobertura potencialmente apareça como **Íntegro**.

Use as etapas a seguir para validar se a configuração do endpoint da VPC para seu tipo de recurso está configurada corretamente na conta do proprietário da VPC:

1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. No painel de navegação, em **Nuvem privada virtual**, escolha **Seu VPCs**.

1. Na VPCs página **Sua**, escolha **IPv4 CIDR** associado à sua ID de **VPC**.

1. No menu à de navegação, em **Nuvem privada virtual**, escolha **Endpoints**.

1. Na tabela **Endpoints**, selecione a linha que tem o **nome do serviço** semelhante a **com.amazonaws. *us-east-1*.guardduty-data**. A Região (`us-east-1`) pode ser diferente para seu endpoint.

1. Um painel com detalhes do endpoint será exibido. Na guia **Grupos de segurança**, selecione o link **ID de grupo** associado para obter mais detalhes.

1. Na tabela **Grupos de Segurança**, selecione a linha com o **ID do grupo de Segurança** associado para verificar os detalhes.

1. **Na guia **Regras de entrada**, verifique se há uma política de entrada com **intervalo de portas** como **443** e **Fonte** como o valor copiado do CIDR. IPv4 ** As regras de entrada controlam o tráfego de entrada que pode chegar à instância. A imagem a seguir mostra as regras de entrada para um grupo de segurança associado à VPC usada pelo GuardDuty agente de segurança.

   Se você ainda não tem um grupo de segurança com uma porta de entrada 443 habilitada, [Criar um grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group) no *Guia do Usuário Amazon EC2*.

   Se houver algum problema ao restringir as permissões de entrada para sua VPC (ou cluster), forneça suporte à porta 443 de entrada de qualquer endereço IP (0.0.0.0/0).

A lista a seguir inclui itens que devem ser conhecidos após a instalação ou atualização do agente de segurança.

**Avalie a cobertura de runtime**  
A próxima etapa após instalar ou atualizar seu agente de segurança é avaliar a cobertura de runtime de seus recursos. Se o status da cobertura de runtime for **Não íntegro**, você deverá solucionar o problema. Para obter mais informações, consulte [Problemas de cobertura de runtime e solução de problemas](runtime-monitoring-assessing-coverage.md).   
Se o status da cobertura de runtime exibir **Íntegro**, isso indica que o Monitoramento de runtime consegue coletar e receber os eventos de runtime. Para obter uma lista desses eventos, consulte [Tipos de eventos de runtime coletados](runtime-monitoring-collected-events.md).

**Nome DNS privado para endpoint**  
Depois de instalar o agente GuardDuty de segurança para seus recursos, por padrão, ele resolverá e se conectará ao nome DNS privado do VPC endpoint. Para um endpoint não FIPS, o DNS privado aparecerá no seguinte formato:  
`guardduty-data.us-east-1.amazonaws.com`  
O Região da AWS,*us-east-1*, mudará com base na sua região.

**Um host pode ser instalado com dois agentes de segurança**  
Ao trabalhar com o agente de GuardDuty segurança para uma instância do Amazon EC2, você pode instalar e usar o agente no host subjacente dentro de um cluster do Amazon EKS. Caso já tenha implantado um agente de segurança nesse cluster EKS, o mesmo host poderia ter dois agentes de segurança em execução simultaneamente. Para obter informações sobre como GuardDuty funciona nesse cenário, consulte[Atendentes de segurança no mesmo host](two-security-agents-installed-on-ec2-node.md).