为独立账户中的 Amazon EC2 资源启用 GuardDuty 自动代理

独立账户负责决定其 Amazon Web Services 账户在特定 Amazon Web Services 区域中启用或禁用防护计划。

如果您的账户是通过 Amazon Organizations 或通过邀请方式与 GuardDuty 管理员账户关联，则本节的内容不适用您的账户。有关更多信息，请参阅为多账户环境启用运行时监控。

启用运行时监控后，务必要通过自动配置或手动部署来安装 GuardDuty 安全代理。在完成以下过程中列出的所有步骤时，务必要安装安全代理。

根据您是要监控全部还是部分 Amazon EC2 资源的偏好，选择一种您偏好的方法并按照下表中的步骤进行操作。

Configure for all instances

登录 Amazon Web Services 管理控制台，打开 GuardDuty 控制台：https://console.aws.amazon.com/guardduty/。
在导航窗格中，选择运行时监控。
在配置选项卡下，选择编辑。
在 EC2 部分中，选择启用。
选择保存。
您可以验证 GuardDuty 创建的 SSM 关联是否将在属于您账户的所有 EC2 资源上安装和管理安全代理。
1. 访问 https://console.aws.amazon.com/systems-manager/，打开 Amazon Systems Manager 控制台。
2. 打开该 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。请注意，标签键将显示为 InstanceIds。

Using inclusion tag in selected instances

登录到 Amazon Web Services 管理控制台并打开 Amazon EC2 控制台（https://console.aws.amazon.com/ec2/）。
将 GuardDutyManaged:true 标签添加到您希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息，请参阅为单个资源添加标签。
您可以验证 GuardDuty 创建的 SSM 关联是否会仅在使用包含标签标记的 EC2 资源上安装和管理安全代理。

访问 https://console.aws.amazon.com/systems-manager/，打开 Amazon Systems Manager 控制台。
1. 打开所创建的 SSM 关联 (GuardDutyRuntimeMonitoring-do-not-delete) 的目标选项卡。标签键显示为 tag:GuardDutyManaged。

Using exclusion tag in selected instances

务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon EC2 启用自动代理配置后，任何在没有使用排除标签的情况下启动的 EC2 实例都将属于 GuardDuty 自动代理配置的覆盖范围。

登录到 Amazon Web Services 管理控制台并打开 Amazon EC2 控制台（https://console.aws.amazon.com/ec2/）。
将 GuardDutyManaged:false 标签添加到您不希望 GuardDuty 监控并检测潜在威胁的实例。有关添加此标签的信息，请参阅为单个资源添加标签。
要使排除标签在实例元数据中可用，请执行以下步骤：
1. 在实例的详细信息选项卡下，查看允许在实例元数据中使用标签的状态。
  
  如果当前为已禁用，请按照以下步骤将其状态更改为已启用。否则，请跳过此步骤。
2. 选择您想允许其使用标签的实例。
3. 在操作菜单下，选择实例设置。
4. 选择允许在实例元数据中使用标签。
5. 在访问实例元数据中的标签下，选择允许。
6. 选择保存。
添加排除标签后，执行与为所有实例配置选项卡中指定的相同步骤。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

在多账户环境中启用 GuardDuty 代理

从 Amazon EC2 手动代理迁移到自动代理