Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# GuardDuty Agente habilitador para los recursos de Amazon EC2 en un entorno de cuentas múltiples
<a name="manage-agent-ec2-multi-account-env"></a>

En entornos con varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de los agentes para los tipos de recursos que pertenecen a las cuentas de los miembros de su organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para más información sobre los entornos con varias cuentas, consulte [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html).

## Para la cuenta de administrador delegado GuardDuty
<a name="configure-for-delegated-admin"></a>

------
#### [ Configure for all instances ]

Si seleccionó **Activar Runtime Monitoring para todas las cuentas**, elija una de las siguientes opciones para la cuenta de GuardDuty administrador delegado:
+ **Opción 1**

  En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Habilitar para todas las cuentas**.
+ **Opción 2**
  + En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Configurar cuentas manualmente**.
  + En **Administrador delegado (esta cuenta)**, elija **Habilitar**.
+ Seleccione **Save**.

Si elige **Configurar cuentas manualmente** en la sección Supervisión en tiempo de ejecución, haga lo siguiente:
+ En **Configuración automatizada del agente**, en la sección **EC2**, seleccione **Configurar cuentas manualmente**.
+ En **Administrador delegado (esta cuenta)**, elija **Habilitar**.
+ Seleccione **Save**.

Independientemente de la opción que elija para habilitar la configuración automática del agente para la cuenta de GuardDuty administrador delegado, puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

1. Abra la consola en AWS Systems Manager . [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. **No** es necesario habilitar la configuración automática del agente de forma explícita.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`) que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Auto-enable para todas las cuentas de los miembros
<a name="auto-enable-all-member-accounts"></a>

**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

------
#### [ Configure for all instances ]

En los siguientes pasos, se supone que seleccionó **Habilitar para todas las cuentas** en la sección Supervisión en tiempo de ejecución:

1. Elija **Habilitar para todas las cuentas** en la sección **Configuración automatizada del agente** para **Amazon EC2**. 

1. Puede comprobar que la asociación SSM que GuardDuty crea (`GuardDutyRuntimeMonitoring-do-not-delete`) instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a esta cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM. Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el GuardDuty agente para las instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias de EC2 que desee GuardDuty supervisar y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias de EC2 seleccionadas. **No** es necesario habilitar la configuración automática del agente de forma explícita.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad en todos los recursos de EC2 que pertenezcan a su cuenta.

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`). Observe que la **tecla de etiqueta** aparece como **InstanceIds**. 

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias de Amazon EC2 seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Auto-enable solo para cuentas de miembros nuevos
<a name="auto-enable-new-member-accounts"></a>

La cuenta de GuardDuty administrador delegado puede establecer la configuración del agente automatizado para el recurso Amazon EC2 para que se habilite automáticamente para las cuentas de los nuevos miembros a medida que se unan a la organización. 

------
#### [ Configure for all instances ]

En los siguientes pasos se presupone que ha seleccionado **Habilitar automáticamente para nuevas cuentas de miembro** en la sección **Supervisión en tiempo de ejecución**:

1. En el panel de navegación, elija **Supervisión en tiempo de ejecución**.

1. En la página **Supervisión en tiempo de ejecución**, elija **Editar**.

1. Elija **Habilitar automáticamente las cuentas de miembros nuevas**. Este paso garantiza que siempre que una nueva cuenta se una a la organización, la configuración automatizada del agente para Amazon EC2 se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta selección.

1. Seleccione **Save**.

Cuando una nueva cuenta de miembro se une a la organización, esta configuración se habilitará para esta automáticamente. GuardDuty Para gestionar el agente de seguridad de las instancias de Amazon EC2 que pertenecen a esta nueva cuenta de miembro, asegúrese de que se cumplen todos los requisitos previos[Para la instancia de EC2](prereq-runtime-monitoring-ec2-support.md).

Cuando se crea una asociación de SSM (`GuardDutyRuntimeMonitoring-do-not-delete`), puede comprobar que la asociación de SSM instalará y administrará el agente de seguridad en todas las instancias de EC2 pertenecientes a la nueva cuenta de miembro.
+ Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
+ Abra la pestaña **Destinos** correspondiente a la asociación de SSM. Observe que la **tecla de etiqueta** aparece como **InstanceIds**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente de GuardDuty seguridad para instancias seleccionadas de su cuenta**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Si agrega esta etiqueta, podrá GuardDuty instalar y administrar el agente de seguridad para estas instancias seleccionadas. No es necesario habilitar explícitamente la configuración automática del agente.

1. Puede comprobar que la asociación SSM que se GuardDuty cree instalará y administrará el agente de seguridad únicamente en los recursos de EC2 que estén etiquetados con las etiquetas de inclusión. 

   1. Abra la AWS Systems Manager consola en. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)

   1. Abra la pestaña **Destinos** correspondiente a la asociación de SSM que se crea. La **tecla Tag** aparece como **etiqueta: GuardDutyManaged**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para instancias específicas de su cuenta independiente**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias que **no** desee GuardDuty monitorear y detecte posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar el tiempo de ejecución [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).

## Solo determinadas cuentas de miembro seleccionadas
<a name="enable-selective-member-accounts-only"></a>

------
#### [ Configure for all instances ]

1. En la página **Cuentas**, seleccione una o más cuentas para las que desee habilitar la **configuración del Monitoring-Automated agente Runtime (Amazon EC2**). Asegúrese de que las cuentas que seleccione en este paso ya tienen habilitada la Supervisión en tiempo de ejecución.

1. En **Editar planes de protección**, elija la opción adecuada para habilitar la **configuración del Monitoring-Automated agente Runtime (Amazon EC2**).

1. Elija **Confirmar**.

------
#### [ Using inclusion tag in selected instances ]

**Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `true` etiqueta`GuardDutyManaged`: a las instancias que desee GuardDuty monitorear y detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

   Añadir esta etiqueta permitirá GuardDuty gestionar el agente de seguridad de las instancias etiquetadas de Amazon EC2. No necesita habilitar explícitamente la configuración automatizada del agente (**Supervisión en tiempo de ejecución: configuración automatizada del agente (EC2)**.

------
#### [ Using exclusion tag in selected instances ]

**nota**  
Asegúrese de agregar la etiqueta de exclusión a las instancias de Amazon EC2 antes de lanzarlas. Una vez que haya activado la configuración automática de agentes para Amazon EC2, cualquier instancia de EC2 que se lance sin una etiqueta de exclusión se incluirá en la configuración GuardDuty automática de agentes.

**Para configurar el agente GuardDuty de seguridad para las instancias seleccionadas**

1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Añada la `false` etiqueta`GuardDutyManaged`: a las instancias de EC2 que **no** desee GuardDuty supervisar o detectar posibles amenazas. Para obtener información sobre cómo agregar esta etiqueta, consulte [Para agregar una etiqueta a un recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. 

**Para que las [etiquetas de exclusión estén disponibles](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) en los metadatos de la instancia, siga los siguientes pasos:**

   1. En la pestaña **Detalles** de la instancia, consulte el estado de **Permitir etiquetas en los metadatos de la instancia**.

      Si actualmente está **Desactivado**, siga estos pasos para cambiar el estado a **Habilitado**. De lo contrario, omita este paso.

   1. En el menú **Acciones**, elija **Configuración de la instancia**.

   1. Elija **Permitir etiquetas en los metadatos de la instancia**.

1. Tras agregar la etiqueta de exclusión, siga los mismos pasos tal como se indica en la pestaña **Configurar para todas las instancias**.

------

Ahora puede evaluar [Cobertura en tiempo de ejecución y resolución de problemas para la instancia de Amazon EC2](gdu-assess-coverage-ec2.md).