在多账户环境中为 Amazon EC2 资源启用 GuardDuty 代理
在多账户环境中,只有委派 GuardDuty 管理员账户才能为属于其组织中成员账户的资源类型启用或禁用自动代理配置。GuardDuty 成员账户无法通过其账户修改此配置。委派 GuardDuty 管理员账户使用 Amazon Organizations 管理其成员账户。有关多账户环境的更多信息,请参阅管理多个账户。
- Configure for all instances
-
如果您选择为所有账户启用运行时监控,则对于委派 GuardDuty 管理员账户,请选择以下选项之一:
-
(选项 1)
在自动代理配置下的 EC2 部分中,选择为所有账户启用。
-
选项 2。
-
在自动代理配置下的 EC2 部分中,选择手动配置账户。
-
在委派管理员(此账户)下选择启用。
-
-
选择保存。
如果您为运行时监控选择了手动配置账户,请执行以下步骤:
-
在自动代理配置下的 EC2 部分中,选择手动配置账户。
-
在委派管理员(此账户)下选择启用。
-
选择保存。
无论您选择哪个选项为委派 GuardDuty 管理员账户启用自动代理配置,您都可以验证 GuardDuty 创建的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
打开该 SSM 关联 (
GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。请注意,标签键将显示为 InstanceIds。
-
- Using inclusion tag in selected instances
-
为选定 Amazon EC2 实例配置 GuardDuty 代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:true标签添加到您希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您无需显式启用自动代理配置。
-
您可以验证 GuardDuty 创建的 SSM 关联是否会仅在使用包含标签标记的 EC2 资源上安装和管理安全代理。
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
打开所创建的 SSM 关联 (
GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。标签键显示为 tag:GuardDutyManaged。
-
- Using exclusion tag in selected instances
-
注意
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何在没有使用排除标签的情况下启动的 EC2 实例都将属于 GuardDuty 自动代理配置的覆盖范围。
为选定 Amazon EC2 实例配置 GuardDuty 代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:false标签添加到您不希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。
如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。
-
在操作菜单下,选择实例设置。
-
选择允许在实例元数据中使用标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时Amazon EC2 实例的运行时覆盖率和故障排除。
注意
更新成员账户的配置可能最长需要 24 小时。
- Configure for all instances
-
以下步骤假设您在“运行时监控”部分选择了为所有账户启用:
-
在 Amazon EC2 的自动代理配置部分中,选择为所有账户启用。
-
您可以验证 GuardDuty 创建的 SSM 关联 (
GuardDutyRuntimeMonitoring-do-not-delete) 是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
打开该 SSM 关联的目标选项卡。请注意,标签键将显示为 InstanceIds。
-
- Using inclusion tag in selected instances
-
为选定 Amazon EC2 实例配置 GuardDuty 代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:true标签添加到您希望 GuardDuty 监控并检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您无需显式启用自动代理配置。
-
您可以验证 GuardDuty 创建的 SSM 关联是否将在属于您账户的所有 EC2 资源上安装和管理安全代理。
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
打开该 SSM 关联 (
GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。请注意,标签键将显示为 InstanceIds。
- Using exclusion tag in selected instances
-
注意
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何在没有使用排除标签的情况下启动的 EC2 实例都将属于 GuardDuty 自动代理配置的覆盖范围。
为选定的 Amazon EC2 实例配置 GuardDuty 安全代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:false标签添加到您不希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。
如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。
-
在操作菜单下,选择实例设置。
-
选择允许在实例元数据中使用标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时Amazon EC2 实例的运行时覆盖率和故障排除。
委派 GuardDuty 管理员账户可以将 Amazon EC2 资源的自动代理配置设置为在新成员账户加入组织时自动启用。
- Configure for all instances
-
以下步骤假设您在运行时监控部分下选择了为新成员账户自动启用:
-
在导航窗格中,选择运行时监控。
-
在运行时监控页面上,选择编辑。
-
选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Amazon EC2 自动代理配置。只有组织的委派 GuardDuty 管理员账户才能修改此选择。
-
选择保存。
当新成员账户加入组织时,系统将自动为其启用此配置。要让 GuardDuty 为属于此新成员账户的 Amazon EC2 实例管理安全代理,请确保满足所有对于 EC2 实例 的先决条件。
创建 SSM 关联 (
GuardDutyRuntimeMonitoring-do-not-delete) 后,您可以验证 SSM 关联是否将在属于该新成员账户的所有 EC2 实例上安装和管理安全代理。访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
打开该 SSM 关联的目标选项卡。请注意,标签键将显示为 InstanceIds。
-
- Using inclusion tag in selected instances
-
为账户中的选定实例配置 GuardDuty 安全代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:true标签添加到您希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将允许 GuardDuty 为这些选定实例安装和管理安全代理。您无需显式启用自动代理配置。
-
您可以验证 GuardDuty 创建的 SSM 关联是否会仅在使用包含标签标记的 EC2 资源上安装和管理安全代理。
访问 https://console.aws.amazon.com/systems-manager/
,打开 Amazon Systems Manager 控制台。 -
打开所创建的 SSM 关联的目标选项卡。标签键显示为 tag:GuardDutyManaged。
- Using exclusion tag in selected instances
-
注意
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何在没有使用排除标签的情况下启动的 EC2 实例都将属于 GuardDuty 自动代理配置的覆盖范围。
为独立账户中的特定实例配置 GuardDuty 安全代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:false标签添加到您不希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。
如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。
-
在操作菜单下,选择实例设置。
-
选择允许在实例元数据中使用标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时Amazon EC2 实例的运行时覆盖率和故障排除。
- Configure for all instances
-
-
在账户页面上,选择要为其启用运行时监控 – 自动代理配置(Amazon EC2)的一个或多个账户。确保您在此步骤中选择的账户已启用运行时监控。
-
从编辑防护计划中选择相应的选项,以启用运行时监控 – 自动代理配置(Amazon EC2)。
-
选择确认。
-
- Using inclusion tag in selected instances
-
为选定实例配置 GuardDuty 安全代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:true标签添加到您希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将允许 GuardDuty 为您标记的 Amazon EC2 实例管理安全代理。您无需显式启用自动代理配置 [运行时监控 – 自动代理配置(EC2)]。
- Using exclusion tag in selected instances
-
注意
务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后,任何在没有使用排除标签的情况下启动的 EC2 实例都将属于 GuardDuty 自动代理配置的覆盖范围。
为选定实例配置 GuardDuty 安全代理
登录到 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台(https://console.aws.amazon.com/ec2/
)。 -
将
GuardDutyManaged:false标签添加到您不希望 GuardDuty 监控或检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。
如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。
-
在操作菜单下,选择实例设置。
-
选择允许在实例元数据中使用标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
您现在可以评估Amazon EC2 实例的运行时覆盖率和故障排除。