管理 Amazon EC2 实例的自动安全代理 - Amazon GuardDuty
从 Amazon EC2 手动代理迁移到自动代理为独立账户配置 GuardDuty 代理在多 GuardDuty 账户环境中配置代理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 Amazon EC2 实例的自动安全代理

从 Amazon EC2 手动代理迁移到自动代理

Amazon Web Services 账户 如果您以前是手动管理安全客户端,但现在想要使用 GuardDuty 自动代理配置,则本节适用于您的。如果这不适用于您,请继续为您的账户配置安全代理。

启用 GuardDuty 自动代理后,将代表您 GuardDuty 管理安全客户端。有关 GuardDuty 采取了哪些步骤的信息,请参阅使用自动代理配置(推荐)

清理资源

删除 SSM 关联

  • 删除您在手动管理 Amazon EC2 安全代理时可能创建的任何 SSM 关联。有关更多信息,请参阅删除关联

  • 这样做是为了让无论您是在账户级别还是实例级别使用自动代理(通过使用包含或排除标签), GuardDuty 都可以接管 SSM 操作的管理。有关 SSM 可以执行的操作的更多信息 GuardDuty ,请参阅的服务相关角色权限 GuardDuty

  • 删除先前为手动管理安全代理而创建的 SSM 关联时,在创建用于自动管理安全代理的 SSM 关联时 GuardDuty 可能会有短暂的重叠期。在此期间,您可能会遇到基于 SSM 调度的冲突。有关更多信息,请参阅 Amazon EC2 SSM 计划

管理您的 Amazon EC2 实例的包含和排除标签

  • 包含标签 — 如果您不启用 GuardDuty 自动代理配置,而是使用包含标签 (GuardDutyManaged:true) 标记任何 Amazon EC2 实例,则会 GuardDuty 创建 SSM 关联,该关联将在选定的 EC2 实例上安装和管理安全代理。这是一种预期行为,可帮助您仅在选定 EC2 实例上管理安全代理。有关更多信息,请参阅 运行时监控如何与 Amazon EC2 实例配合使用

    要防止 GuardDuty 安装和管理安全代理,请从这些 EC2 实例中移除包含标签。有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的添加和删除标签

  • 排除标签 — 当您想要为账户中的所有 EC2 实例启用 GuardDuty 自动代理配置时,请确保没有一个 EC2 实例被标记为排除标签 (GuardDutyManaged:false)。

为独立账户配置 GuardDuty 代理

Configure for all instances
为独立账户中的所有实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择 “运行时监控”。

  3. 在 “配置” 选项卡下,选择 “编辑”

  4. EC2 部分中,选择启用

  5. 选择保存

  6. 您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

    2. 打开 SSM 关联的 “目标” 选项卡(GuardDutyRuntimeMonitoring-do-not-delete)。请注意,T ag 键显示为InstanceIds

Using inclusion tag in selected instances
为选定的 Amazon EC2 实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。

    打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

    1. 打开已创建的 SSM 关联的 “目标” 选项卡 (GuardDutyRuntimeMonitoring-do-not-delete)。标签密钥显示为 tag: GuardDutyManaged

Using exclusion tag in selected instances
注意

在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。

为选定的 Amazon EC2 实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。

      如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。

    2. 选择您要允许为其添加标签的实例。

    3. 在 “操作” 菜单下,选择 “实例设置”

    4. 选择允许在实例元数据中添加标签

    5. 在 “访问实例元数据中的标签” 下,选择 “允许”。

    6. 选择保存

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时间Amazon EC2 实例的覆盖范围

在多 GuardDuty 账户环境中配置代理

Configure for all instances

如果您选择 “为所有帐户启用运行时监控”,则为委派的 GuardDuty 管理员帐户选择以下选项之一:

  • 选项 1

    在 “自动代理配置” 下的 “EC2” 部分中,选择 “为所有账户启用”。

  • 选项 2

    • 在 “自动代理配置” 下的 “EC2” 部分中,选择 “手动配置账户”。

    • 在 “委派管理员(此帐户)” 下,选择 “启用”。

  • 选择保存

如果您为运行时监控选择了手动配置帐户,请执行以下步骤:

  • 在 “自动代理配置” 下的 “EC2” 部分中,选择 “手动配置账户”。

  • 在 “委派管理员(此帐户)” 下,选择 “启用”。

  • 选择保存

无论您选择哪个选项为委派 GuardDuty 管理员账户启用自动代理配置,您都可以验证 GuardDuty 创建的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。

  1. 打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

  2. 打开 SSM 关联的 “目标” 选项卡(GuardDutyRuntimeMonitoring-do-not-delete)。请注意,T ag 键显示为InstanceIds

Using inclusion tag in selected instances
为选定的 Amazon EC2 实例配置 GuardDuty 代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您无需明确启用自动代理配置。

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。

    打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

    1. 打开已创建的 SSM 关联的 “目标” 选项卡 (GuardDutyRuntimeMonitoring-do-not-delete)。标签密钥显示为 tag: GuardDutyManaged

Using exclusion tag in selected instances
注意

在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。

为选定的 Amazon EC2 实例配置 GuardDuty 代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。

      如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。

    2. 在 “操作” 菜单下,选择 “实例设置”

    3. 选择允许在实例元数据中添加标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时间Amazon EC2 实例的覆盖范围

注意

更新成员账户的配置可能最长需要 24 小时。

Configure for all instances

以下步骤假设您在 “运行时监控” 部分为所有账户选择了 “启用”:

  1. Amazon EC2自动代理配置部分中,为所有账户选择启用

  2. 您可以验证 GuardDuty 创建 (GuardDutyRuntimeMonitoring-do-not-delete) 的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

    2. 打开 SSM 关联的 “目标” 选项卡。请注意,T ag 键显示为InstanceIds

Using inclusion tag in selected instances
为选定的 Amazon EC2 实例配置 GuardDuty 代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您无需明确启用自动代理配置。

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

    2. 打开 SSM 关联的 “目标” 选项卡(GuardDutyRuntimeMonitoring-do-not-delete)。请注意,T ag 键显示为InstanceIds

Using exclusion tag in selected instances
注意

在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。

为选定的 Amazon EC2 实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。

      如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。

    2. 在 “操作” 菜单下,选择 “实例设置”

    3. 选择允许在实例元数据中添加标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时间Amazon EC2 实例的覆盖范围

委托 GuardDuty 管理员账户可以将 Amazon EC2 资源的自动代理配置设置为在新成员账户加入组织时自动启用。

Configure for all instances

以下步骤假设您在 “运行时监控” 部分下选择了 “自动为新成员帐户启用”:

  1. 在导航窗格中,选择 “运行时监控”。

  2. 在 “运行时监控” 页面上,选择 “编辑”

  3. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Amazon EC2 的自动代理配置。只有组织的委派 GuardDuty 管理员帐户可以修改此选择。

  4. 选择保存

当新的成员账户加入组织时,将自动为他们启用此配置。 GuardDuty 要管理属于此新成员账户的 Amazon EC2 实例的安全代理,请确保满足对于 EC2 实例所有先决条件。

创建 SSM 关联后(GuardDutyRuntimeMonitoring-do-not-delete),您可以验证 SSM 关联是否将在属于新成员账户的所有 EC2 实例上安装和管理安全代理。

Using inclusion tag in selected instances
为账户中的选定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将 GuardDuty 允许为这些选定实例安装和管理安全代理。您无需明确启用自动代理配置。

  3. 您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。

    1. 打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

    2. 打开已创建的 SSM 关联的 “目标” 选项卡。标签密钥显示为 tag: GuardDutyManaged

Using exclusion tag in selected instances
注意

在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。

为独立账户中的特定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。

      如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。

    2. 在 “操作” 菜单下,选择 “实例设置”

    3. 选择允许在实例元数据中添加标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

现在,您可以评估运行时间Amazon EC2 实例的覆盖范围

Configure for all instances

  1. 账户页面上,选择要为其启用运行时监控-自动代理配置 (Amazon EC2) 的一个或多个账户。确保您在此步骤中选择的帐户已启用运行时监控。

  2. 编辑保护计划中,选择相应的选项以启用运行时监控-自动代理配置 (Amazon EC2)。

  3. 选择确认

Using inclusion tag in selected instances
为选定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:true标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签

    添加此标签将 GuardDuty 允许您管理已标记的 Amazon EC2 实例的安全代理。您无需明确启用自动代理配置(运行时监控-自动代理配置 (EC2))

Using exclusion tag in selected instances
注意

在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。

为选定实例配置 GuardDuty 安全代理

  1. 登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/

  2. GuardDutyManaged:false标签添加到您 GuardDuty 想监控或检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签

  3. 要使排除标签在实例元数据中可用,请执行以下步骤:

    1. 在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。

      如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。

    2. 在 “操作” 菜单下,选择 “实例设置”

    3. 选择允许在实例元数据中添加标签

  4. 添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。

你现在可以评估了Amazon EC2 实例的覆盖范围