View a markdown version of this page

GuardDuty Agente habilitador para los recursos de Amazon EC2 en un entorno de cuentas múltiples - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Agente habilitador para los recursos de Amazon EC2 en un entorno de cuentas múltiples

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de los agentes para los tipos de recursos que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte Managing multiple accounts.

Configure for all instances

Si seleccionó Activar Runtime Monitoring para todas las cuentas, elija una de las siguientes opciones para la cuenta de GuardDuty administrador delegado:

  • Opción 1

    En Configuración automatizada del agente, en la sección EC2, seleccione Habilitar para todas las cuentas.

  • Opción 2

    • En Configuración automatizada del agente, en la sección EC2, seleccione Configurar cuentas manualmente.

    • En Administrador delegado (esta cuenta), elija Habilitar.

  • Seleccione Save.

Si elige Configurar cuentas manualmente en la sección Supervisión en tiempo de ejecución, haga lo siguiente:

  • En Configuración automatizada del agente, en la sección EC2, seleccione Configurar cuentas manualmente.

  • En Administrador delegado (esta cuenta), elija Habilitar.

  • Seleccione Save.

Independientemente de la opción que elija para habilitar la configuración automática del agente para la cuenta de GuardDuty administrador delegado, puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

  1. Abra la consola en AWS Systems Manager . https://console.aws.amazon.com/systems-manager/

  2. Abra la pestaña Destinos correspondiente a la asociación de SSM (GuardDutyRuntimeMonitoring-do-not-delete). Observe que la tecla de etiqueta aparece como InstanceIds.

Using inclusion tag in selected instances
Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la true etiquetaGuardDutyManaged: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

    Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. No es necesario habilitar la configuración automática del agente de forma explícita.

  3. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión.

    Abra la AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/

    1. Abra la pestaña Destinos correspondiente a la asociación de SSM (GuardDutyRuntimeMonitoring-do-not-delete) que se crea. La tecla Tag aparece como etiqueta: GuardDutyManaged.

Using exclusion tag in selected instances
nota

Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la false etiquetaGuardDutyManaged: a las instancias que no desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

  3. Para que las etiquetas de exclusión estén disponibles en los metadatos de la instancia, siga los siguientes pasos:

    1. En la pestaña Detalles de la instancia, consulte el estado de Permitir etiquetas en los metadatos de la instancia.

      Si actualmente está Desactivado, siga estos pasos para cambiar el estado a Habilitado. De lo contrario, omita este paso.

    2. En el menú Acciones, elija Configuración de la instancia.

    3. Elija Permitir etiquetas en los metadatos de la instancia.

  4. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña Configurar para todas las instancias.

Ahora puede evaluar el tiempo de ejecución Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2.

nota

La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

Configure for all instances

En los siguientes pasos, se supone que seleccionó Habilitar para todas las cuentas en la sección Supervisión en tiempo de ejecución:

  1. Elija Habilitar para todas las cuentas en la sección Configuración automatizada del agente para Amazon EC2.

  2. Puede comprobar que la asociación SSM que GuardDuty crea (GuardDutyRuntimeMonitoring-do-not-delete) instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

    1. Abra la AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/

    2. Abra la pestaña Destinos correspondiente a la asociación de SSM. Observe que la tecla de etiqueta aparece como InstanceIds.

Using inclusion tag in selected instances
Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la true etiquetaGuardDutyManaged: a las instancias de EC2 que desee GuardDuty supervisar y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

    Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. No es necesario habilitar la configuración automática del agente de forma explícita.

  3. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a su cuenta.

    1. Abra la AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/

    2. Abra la pestaña Destinos correspondiente a la asociación de SSM (GuardDutyRuntimeMonitoring-do-not-delete). Observe que la tecla de etiqueta aparece como InstanceIds.

Using exclusion tag in selected instances
nota

Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la false etiquetaGuardDutyManaged: a las instancias que no desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

  3. Para que las etiquetas de exclusión estén disponibles en los metadatos de la instancia, siga los siguientes pasos:

    1. En la pestaña Detalles de la instancia, consulte el estado de Permitir etiquetas en los metadatos de la instancia.

      Si actualmente está Desactivado, siga estos pasos para cambiar el estado a Habilitado. De lo contrario, omita este paso.

    2. En el menú Acciones, elija Configuración de la instancia.

    3. Elija Permitir etiquetas en los metadatos de la instancia.

  4. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña Configurar para todas las instancias.

Ahora puede evaluar el tiempo de ejecución Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2.

La cuenta de GuardDuty administrador delegado puede establecer la configuración del agente automatizado para el recurso Amazon EC2 para que se habilite automáticamente para las cuentas de los nuevos miembros a medida que se unan a la organización.

Configure for all instances

En los siguientes pasos se presupone que ha seleccionado Habilitar automáticamente para nuevas cuentas de miembro en la sección Supervisión en tiempo de ejecución:

  1. En el panel de navegación, elija Supervisión en tiempo de ejecución.

  2. En la página Supervisión en tiempo de ejecución, elija Editar.

  3. Elija Habilitar automáticamente las cuentas de miembros nuevas. Este paso garantiza que siempre que una nueva cuenta se una a la organización, la configuración automatizada del agente para Amazon EC2 se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta selección.

  4. Seleccione Save.

Cuando una nueva cuenta de miembro se une a la organización, esta configuración se habilitará para esta automáticamente. GuardDuty Para gestionar el agente de seguridad de las instancias de Amazon EC2 que pertenecen a esta nueva cuenta de miembro, asegúrese de que se cumplen todos los requisitos previosPara la instancia de EC2.

Cuando se crea una asociación de SSM (GuardDutyRuntimeMonitoring-do-not-delete), puede comprobar que la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 pertenecientes a la nueva cuenta de miembro.

Using inclusion tag in selected instances
Para configurar el agente de GuardDuty seguridad para instancias seleccionadas de su cuenta

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la true etiquetaGuardDutyManaged: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

    Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias seleccionadas. No es necesario habilitar explícitamente la configuración automática del agente.

  3. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión.

    1. Abra la AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/

    2. Abra la pestaña Destinos correspondiente a la asociación de SSM que se crea. La tecla Tag aparece como etiqueta: GuardDutyManaged.

Using exclusion tag in selected instances
nota

Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

Para configurar el agente GuardDuty de seguridad para instancias específicas de su cuenta independiente

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la false etiquetaGuardDutyManaged: a las instancias que no desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

  3. Para que las etiquetas de exclusión estén disponibles en los metadatos de la instancia, siga los siguientes pasos:

    1. En la pestaña Detalles de la instancia, consulte el estado de Permitir etiquetas en los metadatos de la instancia.

      Si actualmente está Desactivado, siga estos pasos para cambiar el estado a Habilitado. De lo contrario, omita este paso.

    2. En el menú Acciones, elija Configuración de la instancia.

    3. Elija Permitir etiquetas en los metadatos de la instancia.

  4. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña Configurar para todas las instancias.

Ahora puede evaluar el tiempo de ejecución Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2.

Configure for all instances

  1. En la página Cuentas, seleccione una o más cuentas para las que desee habilitar la configuración del Monitoring-Automated agente Runtime (Amazon EC2). Asegúrese de que las cuentas que seleccione en este paso ya tienen habilitada la Supervisión en tiempo de ejecución.

  2. En Editar planes de protección, elija la opción adecuada para habilitar la configuración del Monitoring-Automated agente Runtime (Amazon EC2).

  3. Elija Confirmar.

Using inclusion tag in selected instances
Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la true etiquetaGuardDutyManaged: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

    Añadir esta etiqueta permitirá GuardDuty gestionar el agente de seguridad de las instancias etiquetadas de Amazon EC2. No necesita habilitar explícitamente la configuración automatizada del agente (Supervisión en tiempo de ejecución: configuración automatizada del agente (EC2).

Using exclusion tag in selected instances
nota

Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas

  1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/ec2/

  2. Añada la false etiquetaGuardDutyManaged: a las instancias de EC2 que no desee GuardDuty supervisar o detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte Para agregar una etiqueta a un recurso individual.

  3. Para que las etiquetas de exclusión estén disponibles en los metadatos de la instancia, siga los siguientes pasos:

    1. En la pestaña Detalles de la instancia, consulte el estado de Permitir etiquetas en los metadatos de la instancia.

      Si actualmente está Desactivado, siga estos pasos para cambiar el estado a Habilitado. De lo contrario, omita este paso.

    2. En el menú Acciones, elija Configuración de la instancia.

    3. Elija Permitir etiquetas en los metadatos de la instancia.

  4. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña Configurar para todas las instancias.

Ahora puede evaluar Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2.