在多账户环境中为 Amazon EC2 资源启用 GuardDuty 代理 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户环境中为 Amazon EC2 资源启用 GuardDuty 代理

在多账户环境中,只有委派的 GuardDuty 管理员帐户才能为属于其组织中成员账户的资源类型启用或禁用自动代理配置。 GuardDuty 成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户账户使用管理其成员账户 Amazon Organizations。有关多账户环境的更多信息,请参阅管理多个账户

Configure for all instances

如果您选择 “为所有帐户启用运行时监控”,则为委派的 GuardDuty 管理员帐户选择以下选项之一:

  • 选项 1

    在 “自动代理配置” 下,在 “为所有账户启用” EC2部分中,选择 “为所有账户启用”。

  • 选项 2

    • 在 “自动代理配置” 下,在 “手动配置帐户” EC2部分中,选择 “手动配置帐户”。

    • 委派管理员(此账户)下选择启用

  • 选择保存

如果您为运行时监控选择了手动配置账户,请执行以下步骤:

  • 在 “自动代理配置” 下,在 “手动配置帐户” EC2部分中,选择 “手动配置帐户”。

  • 委派管理员(此账户)下选择启用

  • 选择保存

无论您选择哪个选项为委派 GuardDuty 管理员帐户启用自动代理配置,您都可以验证 GuardDuty 创建的 SSM 关联是否将在属于该帐户的所有 EC2 资源上安装和管理安全客户端。

  1. 打开 Amazon Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

  2. 打开该 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。请注意,T ag 键显示为InstanceIds

Using inclusion tag in selected instances
为选定的 Amazon EC2 实例配置 GuardDuty 代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将 GuardDuty 允许为这些选定 EC2 实例安装和管理安全代理。您无需显式启用自动代理配置。

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2资源上安装和管理安全代理。

    打开 Amazon Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

    1. 打开所创建的 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。标签键显示为标签:GuardDutyManaged

Using exclusion tag in selected instances
注意

在启动 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。在您为 Amazon 启用自动代理配置后 EC2,任何在没有排除标签的情况下启动的 EC2 实例都将包含在 GuardDuty 自动代理配置中。

为选定的 Amazon EC2 实例配置 GuardDuty 代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。

      如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。

    2. 操作菜单下,选择实例设置

    3. 选择允许在实例元数据中使用标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时Amazon EC2 实例的运行时间覆盖和故障排除

注意

更新成员账户的配置可能最长需要 24 小时。

Configure for all instances

以下步骤假设您在“运行时监控”部分选择了为所有账户启用

  1. Amazon 自动代理配置部分中,为所有账户选择 “启用” EC2。

  2. 您可以验证 GuardDuty 创建 (GuardDutyRuntimeMonitoring-do-not-delete) 的 SSM 关联是否将在属于该账户的所有 EC2资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

    2. 打开该 SSM 关联的目标选项卡。请注意,T ag 键显示为InstanceIds

Using inclusion tag in selected instances
为选定的 Amazon EC2 实例配置 GuardDuty 代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将 GuardDuty 允许为这些选定 EC2 实例安装和管理安全代理。您无需显式启用自动代理配置。

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

    2. 打开该 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。请注意,T ag 键显示为InstanceIds

Using exclusion tag in selected instances
注意

在启动 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。在您为 Amazon 启用自动代理配置后 EC2,任何在没有排除标签的情况下启动的 EC2 实例都将包含在 GuardDuty 自动代理配置中。

为选定的 Amazon EC2 实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。

      如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。

    2. 操作菜单下,选择实例设置

    3. 选择允许在实例元数据中使用标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时Amazon EC2 实例的运行时间覆盖和故障排除

委托 GuardDuty 管理员账户可以将 Amazon EC2 资源的自动代理配置设置为在新成员账户加入组织时自动启用。

Configure for all instances

以下步骤假设您在运行时监控部分下选择了为新成员账户自动启用

  1. 在导航窗格中,选择运行时监控

  2. 运行时监控页面上,选择编辑

  3. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统 EC2 都会自动为其账户启用Amazon的自动代理配置。只有组织的委派 GuardDuty 管理员帐户可以修改此选择。

  4. 选择保存

当新成员账户加入组织时,系统将自动为其启用此配置。 GuardDuty 要管理属于此新成员账户的 Amazon EC2 实例的安全代理,请确保满足 EC2例如所有先决条件。

创建 SSM 关联后(GuardDutyRuntimeMonitoring-do-not-delete),您可以验证 SSM 关联是否将在属于新成员账户的所有 EC2 实例上安装和管理安全代理。

Using inclusion tag in selected instances
为账户中的选定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将 GuardDuty 允许为这些选定实例安装和管理安全代理。您无需显式启用自动代理配置。

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为https://console.aws.amazon.com/systems-manager/

    2. 打开所创建的 SSM 关联的目标选项卡。标签键显示为标签:GuardDutyManaged

Using exclusion tag in selected instances
注意

在启动 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。在您为 Amazon 启用自动代理配置后 EC2,任何在没有排除标签的情况下启动的 EC2 实例都将包含在 GuardDuty 自动代理配置中。

为独立账户中的特定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。

      如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。

    2. 操作菜单下,选择实例设置

    3. 选择允许在实例元数据中使用标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时Amazon EC2 实例的运行时间覆盖和故障排除

Configure for all instances

  1. 账户页面上,选择要为其启用运行时监控-自动代理配置 (Ama EC2 zon) 的一个或多个账户。确保您在此步骤中选择的账户已启用运行时监控。

  2. 编辑保护计划中,选择相应的选项以启用运行时监控-自动代理配置 (Ama EC2 zon)。

  3. 选择确认

Using inclusion tag in selected instances
为选定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将 GuardDuty 允许您管理已标记的 Amazon EC2 实例的安全代理。您无需明确启用自动代理配置(运行时监控-自动代理配置(EC2)

Using exclusion tag in selected instances
注意

在启动 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。在您为 Amazon 启用自动代理配置后 EC2,任何在没有排除标签的情况下启动的 EC2 实例都将包含在 GuardDuty 自动代理配置中。

为选定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控或检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中使用标签的状态。

      如果当前为已禁用,请按照以下步骤将其状态更改为已启用。否则,请跳过此步骤。

    2. 操作菜单下,选择实例设置

    3. 选择允许在实例元数据中使用标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

您现在可以评估Amazon EC2 实例的运行时间覆盖和故障排除