本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 Amazon EC2 实例的自动安全代理
从 Amazon EC2 手动代理迁移到自动代理
Amazon Web Services 账户 如果您以前是手动管理安全客户端,但现在想要使用 GuardDuty 自动代理配置,则本节适用于您的。如果这不适用于您,请继续为您的账户配置安全代理。
启用 GuardDuty 自动代理后,将代表您 GuardDuty 管理安全客户端。有关 GuardDuty 采取了哪些步骤的信息,请参阅使用自动代理配置(推荐)。
清理资源
- 删除 SSM 关联
-
-
删除您在手动管理 Amazon EC2 安全代理时可能创建的任何 SSM 关联。有关更多信息,请参阅删除关联。
-
这样做是为了让无论您是在账户级别还是实例级别使用自动代理(通过使用包含或排除标签), GuardDuty 都可以接管 SSM 操作的管理。有关 SSM 可以执行的操作的更多信息 GuardDuty ,请参阅的服务相关角色权限 GuardDuty。
-
删除先前为手动管理安全代理而创建的 SSM 关联时,在创建用于自动管理安全代理的 SSM 关联时 GuardDuty 可能会有短暂的重叠期。在此期间,您可能会遇到基于 SSM 调度的冲突。有关更多信息,请参阅 Amazon EC2 SSM 计划。
-
- 管理您的 Amazon EC2 实例的包含和排除标签
-
-
包含标签 — 如果您不启用 GuardDuty 自动代理配置,而是使用包含标签 (
GuardDutyManaged
:true
) 标记任何 Amazon EC2 实例,则会 GuardDuty 创建 SSM 关联,该关联将在选定的 EC2 实例上安装和管理安全代理。这是一种预期行为,可帮助您仅在选定 EC2 实例上管理安全代理。有关更多信息,请参阅 运行时监控如何与 Amazon EC2 实例配合使用。要防止 GuardDuty 安装和管理安全代理,请从这些 EC2 实例中移除包含标签。有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的添加和删除标签。
-
排除标签 — 当您想要为账户中的所有 EC2 实例启用 GuardDuty 自动代理配置时,请确保没有一个 EC2 实例被标记为排除标签 (
GuardDutyManaged
:false
)。
-
为独立账户配置 GuardDuty 代理
- Configure for all instances
-
为独立账户中的所有实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/
。 -
在导航窗格中,选择 “运行时监控”。
-
在 “配置” 选项卡下,选择 “编辑”。
-
在 EC2 部分中,选择启用。
-
选择保存。
-
您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开 SSM 关联的 “目标” 选项卡(
GuardDutyRuntimeMonitoring-do-not-delete
)。请注意,T ag 键显示为InstanceIds。
- Using inclusion tag in selected instances
-
为选定的 Amazon EC2 实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:true
标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开已创建的 SSM 关联的 “目标” 选项卡 (
GuardDutyRuntimeMonitoring-do-not-delete
)。标签密钥显示为 tag: GuardDutyManaged。
-
- Using exclusion tag in selected instances
-
注意
在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
为选定的 Amazon EC2 实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:false
标签添加到您不 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。
如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。
-
选择您要允许为其添加标签的实例。
-
在 “操作” 菜单下,选择 “实例设置”。
-
选择允许在实例元数据中添加标签。
-
在 “访问实例元数据中的标签” 下,选择 “允许”。
-
选择保存。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时间Amazon EC2 实例的覆盖范围。
在多 GuardDuty 账户环境中配置代理
- Configure for all instances
-
如果您选择 “为所有帐户启用运行时监控”,则为委派的 GuardDuty 管理员帐户选择以下选项之一:
-
选项 1
在 “自动代理配置” 下的 “EC2” 部分中,选择 “为所有账户启用”。
-
选项 2
-
在 “自动代理配置” 下的 “EC2” 部分中,选择 “手动配置账户”。
-
在 “委派管理员(此帐户)” 下,选择 “启用”。
-
-
选择保存。
如果您为运行时监控选择了手动配置帐户,请执行以下步骤:
-
在 “自动代理配置” 下的 “EC2” 部分中,选择 “手动配置账户”。
-
在 “委派管理员(此帐户)” 下,选择 “启用”。
-
选择保存。
无论您选择哪个选项为委派 GuardDuty 管理员账户启用自动代理配置,您都可以验证 GuardDuty 创建的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开 SSM 关联的 “目标” 选项卡(
GuardDutyRuntimeMonitoring-do-not-delete
)。请注意,T ag 键显示为InstanceIds。
-
- Using inclusion tag in selected instances
-
为选定的 Amazon EC2 实例配置 GuardDuty 代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:true
标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您无需明确启用自动代理配置。
-
您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开已创建的 SSM 关联的 “目标” 选项卡 (
GuardDutyRuntimeMonitoring-do-not-delete
)。标签密钥显示为 tag: GuardDutyManaged。
-
- Using exclusion tag in selected instances
-
注意
在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
为选定的 Amazon EC2 实例配置 GuardDuty 代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:false
标签添加到您不 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。
如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。
-
在 “操作” 菜单下,选择 “实例设置”。
-
选择允许在实例元数据中添加标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时间Amazon EC2 实例的覆盖范围。
注意
更新成员账户的配置可能最长需要 24 小时。
- Configure for all instances
-
以下步骤假设您在 “运行时监控” 部分为所有账户选择了 “启用”:
-
在 Amazon EC2 的自动代理配置部分中,为所有账户选择启用。
-
您可以验证 GuardDuty 创建 (
GuardDutyRuntimeMonitoring-do-not-delete
) 的 SSM 关联是否将在属于该账户的所有 EC2 资源上安装和管理安全代理。打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开 SSM 关联的 “目标” 选项卡。请注意,T ag 键显示为InstanceIds。
-
- Using inclusion tag in selected instances
-
为选定的 Amazon EC2 实例配置 GuardDuty 代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:true
标签添加到 GuardDuty 要监控和检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将允许 GuardDuty 为这些选定的 EC2 实例安装和管理安全代理。您无需明确启用自动代理配置。
-
您可以验证 GuardDuty 创建的 SSM 关联是否会在属于您账户的所有 EC2 资源上安装和管理安全代理。
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开 SSM 关联的 “目标” 选项卡(
GuardDutyRuntimeMonitoring-do-not-delete
)。请注意,T ag 键显示为InstanceIds。
- Using exclusion tag in selected instances
-
注意
在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
为选定的 Amazon EC2 实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:false
标签添加到您不 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。
如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。
-
在 “操作” 菜单下,选择 “实例设置”。
-
选择允许在实例元数据中添加标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时间Amazon EC2 实例的覆盖范围。
委托 GuardDuty 管理员账户可以将 Amazon EC2 资源的自动代理配置设置为在新成员账户加入组织时自动启用。
- Configure for all instances
-
以下步骤假设您在 “运行时监控” 部分下选择了 “自动为新成员帐户启用”:
-
在导航窗格中,选择 “运行时监控”。
-
在 “运行时监控” 页面上,选择 “编辑”。
-
选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 Amazon EC2 的自动代理配置。只有组织的委派 GuardDuty 管理员帐户可以修改此选择。
-
选择保存。
当新的成员账户加入组织时,将自动为他们启用此配置。 GuardDuty 要管理属于此新成员账户的 Amazon EC2 实例的安全代理,请确保满足对于 EC2 实例所有先决条件。
创建 SSM 关联后(
GuardDutyRuntimeMonitoring-do-not-delete
),您可以验证 SSM 关联是否将在属于新成员账户的所有 EC2 实例上安装和管理安全代理。打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开 SSM 关联的 “目标” 选项卡。请注意,T ag 键显示为InstanceIds。
-
- Using inclusion tag in selected instances
-
为账户中的选定实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:true
标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将 GuardDuty 允许为这些选定实例安装和管理安全代理。您无需明确启用自动代理配置。
-
您可以验证 GuardDuty 创建的 SSM 关联是否仅在标有包含标签的 EC2 资源上安装和管理安全代理。
打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/
。 -
打开已创建的 SSM 关联的 “目标” 选项卡。标签密钥显示为 tag: GuardDutyManaged。
- Using exclusion tag in selected instances
-
注意
在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
为独立账户中的特定实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:false
标签添加到您不 GuardDuty 想监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。
如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。
-
在 “操作” 菜单下,选择 “实例设置”。
-
选择允许在实例元数据中添加标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
现在,您可以评估运行时间Amazon EC2 实例的覆盖范围。
- Configure for all instances
-
-
在账户页面上,选择要为其启用运行时监控-自动代理配置 (Amazon EC2) 的一个或多个账户。确保您在此步骤中选择的帐户已启用运行时监控。
-
在编辑保护计划中,选择相应的选项以启用运行时监控-自动代理配置 (Amazon EC2)。
-
选择确认。
-
- Using inclusion tag in selected instances
-
为选定实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:true
标签添加到 GuardDuty 要监控和检测潜在威胁的实例。有关添加此标签的信息,请参阅为单个资源添加标签。添加此标签将 GuardDuty 允许您管理已标记的 Amazon EC2 实例的安全代理。您无需明确启用自动代理配置(运行时监控-自动代理配置 (EC2))。
- Using exclusion tag in selected instances
-
注意
在启动您的 Amazon EC2 实例之前,请务必将排除标签添加到这些实例。当您为 Amazon EC2 启用自动代理配置时,任何启动时没有排除标签的 EC2 实例都将受到 GuardDuty 自动代理配置的保护。
为选定实例配置 GuardDuty 安全代理
登录 Amazon Web Services Management Console 并打开亚马逊 EC2 控制台,网址为 https://console.aws.amazon.com/ec2/
。 -
将
GuardDutyManaged
:false
标签添加到您不 GuardDuty 想监控或检测潜在威胁的 EC2 实例。有关添加此标签的信息,请参阅为单个资源添加标签。 -
要使排除标签在实例元数据中可用,请执行以下步骤:
-
在实例的详细信息选项卡下,查看允许在实例元数据中添加标签的状态。
如果当前已禁用,请使用以下步骤将其状态更改为 “已启用”。否则,请跳过此步骤。
-
在 “操作” 菜单下,选择 “实例设置”。
-
选择允许在实例元数据中添加标签。
-
-
添加排除标签后,执行与为所有实例配置选项卡中指定的相同步骤。
你现在可以评估了Amazon EC2 实例的覆盖范围。