本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 Amazon EC2 实例启用自动安全代理
本节包括在您的独立账户或多账户环境中为您的 Amazon EC2 资源启用 GuardDuty 自动代理的步骤。
在继续操作之前,请确保您已满足所有 [Amazon EC2 实例支持的先决条件](prereq-runtime-monitoring-ec2-support.md)。
如果您要从手动管理 GuardDuty 代理迁移到启用 GuardDuty 自动代理,则在按照步骤启用 GuardDuty 自动代理之前,请参阅[从 Amazon EC2 手动代理迁移到自动代理](migrate-from-ec2-manual-to-automated-agent.md)。
# 在多账户环境中为 Amazon EC2 资源启用 GuardDuty 代理
在多账户环境中,只有委派的 GuardDuty 管理员帐户才能为属于其组织中成员账户的资源类型启用或禁用自动代理配置。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户账户使用管理其成员账户 AWS Organizations。有关多账户环境的更多信息,请参阅[管理多个账户](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)。
## 适用于委派 GuardDuty 管理员账号
------
#### [ Configure for all instances ]
如果您选择 “**为所有帐户启用**运行时监控”,则为委派的 GuardDuty 管理员帐户选择以下选项之一:
+ **选项 1**
在**自动代理配置**下的 **EC2** 部分中,选择**为所有账户启用**。
+ **选项 2**
+ 在**自动代理配置**下的 **EC2** 部分中,选择**手动配置账户**。
+ 在**委派管理员(此账户)**下选择**启用**。
+ 选择**保存**。
如果您为运行时监控选择了**手动配置账户**,请执行以下步骤:
+ 在**自动代理配置**下的 **EC2** 部分中,选择**手动配置账户**。
+ 在**委派管理员(此账户)**下选择**启用**。
+ 选择**保存**。
无论您选择哪个选项为委派 GuardDuty 管理员账户启用自动代理配置,您都可以验证 GuardDuty 创建的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开该 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。请注意,T **ag 键**显示为**InstanceIds**。
------
#### [ Using inclusion tag in selected instances ]
**为选定的 Amazon EC2 实例配置 GuardDuty 代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`true`标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您**无需**显式启用自动代理配置。
1. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。
打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开所创建的 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。**标签键**显示为**标签:GuardDutyManaged**。
------
#### [ Using exclusion tag in selected instances ]
**注意**
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
**为选定的 Amazon EC2 实例配置 GuardDuty 代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`false`标签添加到您**不** GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1.
**要使[排除标签在实例元数据中可用](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2),请执行以下步骤:**
1. 在实例的**详细信息**选项卡下,查看**允许在实例元数据中使用标签**的状态。
如果当前为**已禁用**,请按照以下步骤将其状态更改为**已启用**。否则,请跳过此步骤。
1. 在**操作**菜单下,选择**实例设置**。
1. 选择**允许在实例元数据中使用标签**。
1. 添加排除标签后,执行与**为所有实例配置**选项卡中指定的相同步骤。
------
现在,您可以评估运行时[Amazon EC2 实例的运行时覆盖率和故障排除](gdu-assess-coverage-ec2.md)。
## 为所有成员账户自动启用
**注意**
更新成员账户的配置可能最长需要 24 小时。
------
#### [ Configure for all instances ]
以下步骤假设您在“运行时监控”部分选择了**为所有账户启用**:
1. 在 **Amazon EC2** 的**自动代理配置**部分中,选择**为所有账户启用**。
1. 您可以验证 GuardDuty 创建 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开该 SSM 关联的**目标**选项卡。请注意,T **ag 键**显示为**InstanceIds**。
------
#### [ Using inclusion tag in selected instances ]
**为选定的 Amazon EC2 实例配置 GuardDuty 代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`true`标签添加到 GuardDuty 要监控和检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您**无需**显式启用自动代理配置。
1. 您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开该 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。请注意,T **ag 键**显示为**InstanceIds**。
------
#### [ Using exclusion tag in selected instances ]
**注意**
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
**为选定的 Amazon EC2 实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`false`标签添加到您**不** GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1.
**要使[排除标签在实例元数据中可用](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2),请执行以下步骤:**
1. 在实例的**详细信息**选项卡下,查看**允许在实例元数据中使用标签**的状态。
如果当前为**已禁用**,请按照以下步骤将其状态更改为**已启用**。否则,请跳过此步骤。
1. 在**操作**菜单下,选择**实例设置**。
1. 选择**允许在实例元数据中使用标签**。
1. 添加排除标签后,执行与**为所有实例配置**选项卡中指定的相同步骤。
------
现在,您可以评估运行时[Amazon EC2 实例的运行时覆盖率和故障排除](gdu-assess-coverage-ec2.md)。
## 仅为新成员账户自动启用
委托 GuardDuty 管理员账户可以将 Amazon EC2 资源的自动代理配置设置为在新成员账户加入组织时自动启用。
------
#### [ Configure for all instances ]
以下步骤假设您在**运行时监控**部分下选择了**为新成员账户自动启用**:
1. 在导航窗格中,选择**运行时监控**。
1. 在**运行时监控**页面上,选择**编辑**。
1. 选择**为新成员账户自动启用**。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Amazon EC2 自动代理配置。只有组织的委派 GuardDuty 管理员帐户可以修改此选择。
1. 选择**保存**。
当新成员账户加入组织时,系统将自动为其启用此配置。 GuardDuty 要管理属于此新成员账户的 Amazon EC2 实例的安全代理,请确保满足[对于 EC2 实例](prereq-runtime-monitoring-ec2-support.md)所有先决条件。
创建 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 后,您可以验证 SSM 关联是否将在属于该新成员账户的所有 EC2 实例上安装和管理安全代理。
+ 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
+ 打开该 SSM 关联的**目标**选项卡。请注意,T **ag 键**显示为**InstanceIds**。
------
#### [ Using inclusion tag in selected instances ]
**为账户中的选定实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`true`标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
添加此标签将 GuardDuty 允许为这些选定实例安装和管理安全代理。您无需显式启用自动代理配置。
1. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开所创建的 SSM 关联的**目标**选项卡。**标签键**显示为**标签:GuardDutyManaged**。
------
#### [ Using exclusion tag in selected instances ]
**注意**
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
**为独立账户中的特定实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`false`标签添加到您**不** GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1.
**要使[排除标签在实例元数据中可用](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2),请执行以下步骤:**
1. 在实例的**详细信息**选项卡下,查看**允许在实例元数据中使用标签**的状态。
如果当前为**已禁用**,请按照以下步骤将其状态更改为**已启用**。否则,请跳过此步骤。
1. 在**操作**菜单下,选择**实例设置**。
1. 选择**允许在实例元数据中使用标签**。
1. 添加排除标签后,执行与**为所有实例配置**选项卡中指定的相同步骤。
------
现在,您可以评估运行时[Amazon EC2 实例的运行时覆盖率和故障排除](gdu-assess-coverage-ec2.md)。
## 仅限选定成员账户
------
#### [ Configure for all instances ]
1. 在**账户**页面上,选择要为其启用**运行时监控 – 自动代理配置(Amazon EC2)**的一个或多个账户。确保您在此步骤中选择的账户已启用运行时监控。
1. 从**编辑防护计划**中选择相应的选项,以启用**运行时监控 – 自动代理配置(Amazon EC2)**。
1. 选择**确认**。
------
#### [ Using inclusion tag in selected instances ]
**为选定实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`true`标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
添加此标签将 GuardDuty 允许您管理已标记的 Amazon EC2 实例的安全代理。您无需显式启用自动代理配置 [**运行时监控 – 自动代理配置(EC2)**]。
------
#### [ Using exclusion tag in selected instances ]
**注意**
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
**为选定实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`false`标签添加到您**不** GuardDuty 想监控或检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1.
**要使[排除标签在实例元数据中可用](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2),请执行以下步骤:**
1. 在实例的**详细信息**选项卡下,查看**允许在实例元数据中使用标签**的状态。
如果当前为**已禁用**,请按照以下步骤将其状态更改为**已启用**。否则,请跳过此步骤。
1. 在**操作**菜单下,选择**实例设置**。
1. 选择**允许在实例元数据中使用标签**。
1. 添加排除标签后,执行与**为所有实例配置**选项卡中指定的相同步骤。
------
您现在可以评估[Amazon EC2 实例的运行时覆盖率和故障排除](gdu-assess-coverage-ec2.md)。
# 为独立账户中的 Amazon EC2 资源启用 GuardDuty 自动代理
独立账户拥有在特定账户中启用或禁用保护计划的决定 AWS 区域。 AWS 账户
如果您的账户通过或通过 AWS Organizations邀请方式与 GuardDuty 管理员帐户关联,则此部分不适用于您的账户。有关更多信息,请参阅 [为多账户环境启用运行时监控](enable-runtime-monitoring-multiple-acc-env.md)。
启用运行时监控后,请确保通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时,务必要安装安全代理。
根据您是要监控全部还是部分 Amazon EC2 资源的偏好,选择一种您偏好的方法并按照下表中的步骤进行操作。
------
#### [ Configure for all instances ]
**为独立账户中的所有实例配置运行时监控**
1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**运行时监控**。
1. 在**配置**选项卡下,选择**编辑**。
1. 在 **EC2** 部分中,选择**启用**。
1. 选择**保存**。
1. 您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开该 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。请注意,T **ag 键**显示为**InstanceIds**。
------
#### [ Using inclusion tag in selected instances ]
**为选定的 Amazon EC2 实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`true`标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。
打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 打开所创建的 SSM 关联 (`GuardDutyRuntimeMonitoring-do-not-delete`) 的**目标**选项卡。**标签键**显示为**标签:GuardDutyManaged**。
------
#### [ Using exclusion tag in selected instances ]
**注意**
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
**为选定的 Amazon EC2 实例配置 GuardDuty 安全代理**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 将`GuardDutyManaged`:`false`标签添加到您**不** GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅[为单个资源添加标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1.
**要使[排除标签在实例元数据中可用](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2),请执行以下步骤:**
1. 在实例的**详细信息**选项卡下,查看**允许在实例元数据中使用标签**的状态。
如果当前为**已禁用**,请按照以下步骤将其状态更改为**已启用**。否则,请跳过此步骤。
1. 选择您想允许其使用标签的实例。
1. 在**操作**菜单下,选择**实例设置**。
1. 选择**允许在实例元数据中使用标签**。
1. 在**访问实例元数据中的标签**下,选择**允许**。
1. 选择**保存**。
1. 添加排除标签后,执行与**为所有实例配置**选项卡中指定的相同步骤。
------
现在,您可以评估运行时[Amazon EC2 实例的运行时覆盖率和故障排除](gdu-assess-coverage-ec2.md)。
# 从 Amazon EC2 手动代理迁移到自动代理
AWS 账户 如果您以前手动管理安全客户端,现在想要使用 GuardDuty 自动代理配置,则本节适用于您。如果本节的内容不适用于您,请继续为您的账户配置安全代理。
启用 GuardDuty 自动代理后,将代表您 GuardDuty 管理安全客户端。有关 GuardDuty 采取了哪些步骤的信息,请参阅[使用自动代理配置(推荐)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2)。
## 清理 资源
**删除 SSM 关联**
+ 删除您在手动管理 Amazon EC2 安全代理时可能创建的任何 SSM 关联。有关更多信息,请参阅[删除关联](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html)。
+ 这样做是为了让无论您是在账户级别还是实例级别使用自动代理(通过使用包含或排除标签), GuardDuty 都可以接管 SSM 操作的管理。有关 SSM 可以执行的操作的更多信息 GuardDuty ,请参阅[的服务相关角色权限 GuardDuty](slr-permissions.md)。
+ 删除先前为手动管理安全代理而创建的 SSM 关联时,在创建用于自动管理安全代理的 SSM 关联时 GuardDuty 可能会有短暂的重叠期。在此期间,您可能会遇到源自 SSM 调度的冲突。有关更多信息,请参阅 [Amazon EC2 SSM 调度](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html)。
**管理 Amazon EC2 实例的包含标签和排除标签**
+ **包含标签** — 如果您不启用 GuardDuty自动代理配置,但使用包含标签 (`GuardDutyManaged`:`true`) 标记任何 Amazon EC2 实例,则会 GuardDuty 创建 SSM 关联,该关联将在选定的 EC2 实例上安装和管理安全代理。这是一种预期的行为,有助您仅管理选定 EC2 实例上的安全代理。有关更多信息,请参阅 [运行时监控如何与 Amazon EC2 实例结合使用](how-runtime-monitoring-works-ec2.md)。
要防止 GuardDuty 安装和管理安全代理,请从这些 EC2 实例中移除包含标签。有关更多信息,请参阅《Amazon EC2 用户指南》中的[添加和删除标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)**。
+ **排除标签** — 当您想要为账户中的所有 EC2 实例启用 GuardDuty自动代理配置时,请确保没有一个 EC2 实例被标记为排除标签 (`GuardDutyManaged`:`false`)。