为独立账户中的 Amazon EC2 资源启用 GuardDuty 自动代理

独立账户拥有在特定账户中启用或禁用保护计划的决定 Amazon Web Services 区域。 Amazon Web Services 账户

如果您的账户通过或通过 Amazon Organizations邀请方式与 GuardDuty 管理员帐户关联，则此部分不适用于您的账户。有关更多信息，请参阅为多账户环境启用运行时监控。

启用运行时监控后，请确保通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时，务必要安装安全代理。

根据您对监控所有或部分Amazon EC2 资源的偏好，选择首选方法并按照下表中的步骤进行操作。

Configure for all instances

登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台，网址为https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择运行时监控。
在配置选项卡下，选择编辑。
在该EC2部分中，选择启用。
选择保存。
您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。
1. 打开 Amazon Systems Manager 控制台，网址为https://console.aws.amazon.com/systems-manager/。
2. 打开该 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。请注意，T ag 键显示为InstanceIds。

Using inclusion tag in selected instances

登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台，网址为https://console.aws.amazon.com/ec2/。
将GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息，请参阅为单个资源添加标签。
您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。

打开 Amazon Systems Manager 控制台，网址为https://console.aws.amazon.com/systems-manager/。
1. 打开所创建的 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。标签键显示为标签:GuardDutyManaged。

Using exclusion tag in selected instances

在启动 Amazon EC2 实例之前，请务必将排除标签添加到这些实例。在您为 Amazon 启用自动代理配置后 EC2，任何在没有排除标签的情况下启动的 EC2 实例都将包含在 GuardDuty 自动代理配置中。

登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台，网址为https://console.aws.amazon.com/ec2/。
将GuardDutyManaged:false标签添加到您不 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息，请参阅为单个资源添加标签。
要使排除标签在实例元数据中可用，请执行以下步骤：
1. 在实例的详细信息选项卡下，查看允许在实例元数据中使用标签的状态。
  
  如果当前为已禁用，请按照以下步骤将其状态更改为已启用。否则，请跳过此步骤。
2. 选择您想允许其使用标签的实例。
3. 在操作菜单下，选择实例设置。
4. 选择允许在实例元数据中使用标签。
5. 在访问实例元数据中的标签下，选择允许。
6. 选择保存。
添加排除标签后，执行与为所有实例配置选项卡中指定的相同步骤。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

在多账户环境中启用 GuardDuty 代理

从 Amazon EC2 手动代理迁移到自动代理