Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS)
Runtime Monitoring permite administrar el agente de seguridad para sus clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.
Antes de continuar con los pasos de esta sección, asegúrese de cumplir con Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS).
En función de Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate, elija el método que prefiera para habilitar el agente GuardDuty automatizado en sus recursos.
En un entorno de varias cuentas, solo la cuenta de GuardDuty administrador delegado puede habilitar o deshabilitar la configuración automática de agentes para las cuentas de los miembros y administrar la configuración automatizada de los agentes para los clústeres de Amazon ECS que pertenecen a las cuentas de los miembros de su organización. La cuenta de un GuardDuty miembro no puede modificar esta configuración. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. Para obtener más información sobre los entornos de varias cuentas, consulte Administrar varias cuentas en. GuardDuty
Habilitar la configuración automática de agentes para la cuenta de administrador delegado GuardDuty
- Manage for all Amazon ECS clusters (account level)
-
Si ha elegido Habilitar para todas las cuentas en la sección Supervisión en tiempo de ejecución, tendrá las siguientes opciones:
-
Seleccione Activar para todas las cuentas en la sección de configuración automatizada de agentes. GuardDuty desplegará y gestionará el agente de seguridad para todas las tareas de Amazon ECS que se inicien.
-
Elija Configurar cuentas manualmente.
Si ha elegido Configurar cuentas manualmente en la sección Supervisión en tiempo de ejecución, haga lo siguiente:
-
Elija Configurar cuentas manualmente en la sección Configuración automatizada del agente.
-
Seleccione Activar en la sección de la cuenta de GuardDuty administrador delegado (esta cuenta).
Seleccione Guardar.
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como GuardDutyManaged-false.
-
Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña Configuración, elija Habilitar en la Configuración automatizada del agente.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
-
Seleccione Guardar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser GuardDutyManaged-true.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Al utilizar etiquetas de inclusión para sus clústeres de Amazon ECS, no necesita habilitar el GuardDuty agente mediante la configuración automática de agentes de forma explícita.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
Habilitar automáticamente para todas las cuentas de miembro
- Manage for all Amazon ECS clusters (account level)
-
Los siguientes pasos presuponen que ha elegido Habilitar para todas las cuentas en la sección Supervisión en tiempo de ejecución.
-
Seleccione Activar para todas las cuentas en la sección de configuración automática de agentes. GuardDuty desplegará y gestionará el agente de seguridad para todas las tareas de Amazon ECS que se inicien.
-
Seleccione Guardar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como GuardDutyManaged-false.
-
Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña Configuración, elija Editar.
-
Elija Habilitar para todas las cuentas en la sección Configuración automatizada del agente.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
-
Seleccione Guardar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster
level)
-
Independientemente de cómo decida habilitar la Supervisión en tiempo de ejecución, los pasos que se indican a continuación sirven para supervisar tareas específicas de Amazon ECS Fargate para todas las cuentas de miembro de la organización.
-
No habilite ninguna configuración en la sección Configuración automatizada del agente. Mantenga la misma configuración de Supervisión en tiempo de ejecución que seleccionó en el paso anterior.
-
Seleccione Guardar.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Al usar etiquetas de inclusión para sus clústeres de Amazon ECS, no necesita habilitar la administración automática de GuardDuty agentes de forma explícita.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
Habilitar la configuración automática del agente para las cuentas de miembro activas existentes
- Manage for all Amazon ECS clusters (account level)
-
-
En la página Supervisión del tiempo de ejecución, en la pestaña Configuración, puede ver el estado actual de la configuración automatizada del agente.
-
En el panel de configuración automática de agentes, en la sección Cuentas de miembros activos, seleccione Acciones.
-
En Acciones, seleccione Habilitar para todas las cuentas de miembros activas existentes.
-
Elija Confirmar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como GuardDutyManaged-false.
-
Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña Configuración, en la sección Configuración automatizada del agente, en Cuentas de miembro activas, elija Acciones.
-
En Acciones, seleccione Habilitar para todas las cuentas de miembros activas.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
-
Elija Confirmar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser GuardDutyManaged-true.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la Configuración automatizada del agente de forma explícita.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
Habilitar automáticamente la configuración automática de agentes para los nuevos miembros
- Manage for all Amazon ECS clusters (account level)
-
-
En la página Supervisión en tiempo de ejecución, elija Editar para actualizar la configuración existente.
-
En la sección Configuración automatizada del agente, seleccione Habilitar automáticamente para nuevas cuentas de miembro.
-
Seleccione Guardar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como GuardDutyManaged-false.
-
Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de activar la configuración automática de agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la pestaña Configuración, seleccione Habilitar automáticamente para nuevas cuentas de miembro en la sección Configuración automatizada del agente.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
-
Seleccione Guardar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser GuardDutyManaged-true.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la Configuración automatizada del agente de forma explícita.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
Habilitar la Configuración automatizada del agente para cuentas de miembro activas de forma selectiva
- Manage for all Amazon ECS (account level)
-
-
En la página Cuentas, seleccione las cuentas para las que desea habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate). Puede seleccionar varias cuentas. Asegúrese de que las cuentas que seleccione en este paso ya estén habilitadas con la Supervisión en tiempo de ejecución.
-
En Editar planes de protección, elija la opción adecuada para habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate).
-
Elija Confirmar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
Agregue una etiqueta a este clúster de Amazon ECS con el par de clave y valor como GuardDutyManaged-false.
-
Evite la modificación de las etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
Añada siempre la etiqueta de exclusión a sus clústeres de Amazon ECS antes de habilitar la administración automática de GuardDuty agentes en su cuenta; de lo contrario, el contenedor GuardDuty sidecar se adjuntará a todos los contenedores de las tareas de Amazon ECS que se lancen.
En la página Cuentas, seleccione las cuentas para las que desea habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate). Puede seleccionar varias cuentas. Asegúrese de que las cuentas que seleccione en este paso ya estén habilitadas con la Supervisión en tiempo de ejecución.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
-
En Editar planes de protección, elija la opción adecuada para habilitar la Configuración automatizada del agente de la Supervisión en tiempo de ejecución (ECS-Fargate).
-
Seleccione Guardar.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
Asegúrese de no habilitar la Configuración automatizada del agente (o Configuración automatizada del agente de Supervisión en tiempo de ejecución [ECS-Fargate]) para las cuentas seleccionadas que tienen los clústeres de Amazon ECS que desea supervisar.
-
Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser GuardDutyManaged-true.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Al utilizar etiquetas de inclusión para los clústeres de Amazon ECS, no necesita habilitar la Configuración automatizada del agente de forma explícita.
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
Inicie sesión en AWS Management Console y abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
-
En el panel de navegación, elija Supervisión en tiempo de ejecución.
-
En la pestaña Configuración:
-
Para administrar la Configuración automatizada del agente para todos los clústeres de Amazon ECS (nivel de cuenta)
Elija Habilitar en la sección Configuración automatizada del agente para AWS Fargate (sólo ECS). Cuando se lance una nueva tarea de Fargate Amazon ECS, GuardDuty gestionará el despliegue del agente de seguridad.
-
Seleccione Guardar.
-
Para administrar la Configuración automatizada del agente mediante la exclusión de algunos de los clústeres de Amazon ECS (nivel de clúster)
-
Agregue una etiqueta al clúster de Amazon ECS para el que desea excluir todas las tareas. El par de clave y valor debe ser GuardDutyManaged-false.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
En la pestaña Configuración, elija Habilitar en la sección Configuración automatizada del agente.
Añada siempre la etiqueta de exclusión a su clúster de Amazon ECS antes de habilitar la administración automática del GuardDuty agente en su cuenta; de lo contrario, el agente de seguridad se desplegará en todas las tareas que se lancen dentro del clúster de Amazon ECS correspondiente.
En el caso de los clústeres de Amazon ECS que no se hayan excluido, GuardDuty gestionará el despliegue del agente de seguridad en el contenedor sidecar.
-
Seleccione Guardar.
-
Para administrar la Configuración automatizada del agente mediante la inclusión de algunos de los clústeres de Amazon ECS (nivel de clúster).
-
Agregue una etiqueta a un clúster de Amazon ECS para el que desee incluir todas las tareas. El par de clave y valor debe ser GuardDutyManaged-true.
-
Evite la modificación de estas etiquetas, excepto por las entidades de confianza. La política proporcionada en Evitar la modificación de etiquetas excepto por entidades principales autorizadas en la Guía del usuario de AWS Organizations ha sido modificada para ser aplicable en esta situación.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
Si GuardDuty desea supervisar las tareas que forman parte de un servicio, es necesario implementar un nuevo servicio después de activar Runtime Monitoring. Si la última implementación de un servicio ECS específico se inició antes de habilitar la Supervisión en tiempo de ejecución, puede reiniciar el servicio o actualizarlo mediante forceNewDeployment.
Para conocer los pasos a seguir para actualizar el servicio, consulte los siguientes recursos:
