本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为独立账户中的 Amazon EC2 资源启用 GuardDuty 自动代理 独立账户拥有在特定账户中启用或禁用保护计划的决定 AWS 区域。 AWS 账户 如果您的账户通过或通过 AWS Organizations邀请方式与 GuardDuty 管理员帐户关联,则此部分不适用于您的账户。有关更多信息,请参阅 [为多账户环境启用运行时监控](enable-runtime-monitoring-multiple-acc-env.md)。 启用运行时监控后,请确保通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时,务必要安装安全代理。 根据您是要监控全部还是部分 Amazon EC2 资源的偏好,选择一种您偏好的方法并按照下表中的步骤进行操作。 ------ #### [ Configure for all instances ] **为独立账户中的所有实例配置运行时监控** 1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。 1. 在导航窗格中,选择**运行时监控**。 1. 在**配置**选项卡下,选择**编辑**。 1. 在 **EC2** 部分中,选择**启用**。 1. 选择**保存**。 1. 您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。 1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。 1. 打开该 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。请注意,T **ag 键**显示为**InstanceIds**。 ------ #### [ Using inclusion tag in selected instances ] **为选定的 Amazon EC2 实例配置 GuardDuty 安全代理** 1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。 1. 将`GuardDutyManaged`:`true`标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。 1. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。 1. 打开所创建的 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。**标签密钥**显示为 **tag: GuardDutyManaged**。 ------ #### [ Using exclusion tag in selected instances ] **注意** 务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。 **为选定的 Amazon EC2 实例配置 GuardDuty 安全代理** 1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。 1. 将`GuardDutyManaged`:`false`标签添加到您**不** GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。 1. **对于 [排除标签将可用](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) 在实例元数据中,执行以下步骤:** 1. 在实例的**详细信息**选项卡下,查看**允许在实例元数据中使用标签**的状态。 如果当前为**已禁用**,请按照以下步骤将其状态更改为**已启用**。否则,请跳过此步骤。 1. 选择您想允许其使用标签的实例。 1. 在**操作**菜单下,选择**实例设置**。 1. 选择**允许在实例元数据中使用标签**。 1. 在**访问实例元数据中的标签**下,选择**允许**。 1. 选择**保存**。 1. 添加排除标签后,执行与**为所有实例配置**选项卡中指定的相同步骤。 ------ 现在,您可以评估运行时[Amazon EC2 实例的运行时覆盖率和故障排除](gdu-assess-coverage-ec2.md)。