为 Amazon EC2 实例启用自动安全代理
本节包含在独立账户中或为多账户环境中为 Amazon EC2 资源启用 GuardDuty 自动代理的步骤。
在继续操作之前,请确保您已满足所有 Amazon EC2 实例支持的先决条件。
如果要从手动管理 GuardDuty 代理迁移到启用 GuardDuty 自动代理,则在按照启用 GuardDuty 自动代理的步骤操作之前,请参阅从 Amazon EC2 手动代理迁移到自动代理。
从 Amazon EC2 手动代理迁移到自动代理
如果您以前手动管理安全代理,而现在想使用 GuardDuty 自动代理配置,则本节适用于您的 AWS 账户。如果本节的内容不适用于您,请继续为您的账户配置安全代理。
启用 GuardDuty 自动代理后,GuardDuty 将会代表您管理安全代理。有关 GuardDuty 将执行的步骤的信息,请参阅使用自动代理配置(推荐)。
清理资源
- 删除 SSM 关联
-
-
删除您在手动管理 Amazon EC2 安全代理时可能创建的任何 SSM 关联。有关更多信息,请参阅删除关联。
-
这是为了让 GuardDuty 可以接管 SSM 操作的管理,无论您是在账户级别还是实例级别使用自动代理(通过使用包含标签或排除标签)。有关 GuardDuty 可以执行的 SSM 操作的更多信息,请参阅 GuardDuty 的服务相关角色权限。
-
当您删除之前为了手动管理安全代理而创建的 SSM 关联时,可能会与 GuardDuty 为了自动管理安全代理而创建 SSM 关联时有短暂的重叠期。在此期间,您可能会遇到源自 SSM 调度的冲突。有关更多信息,请参阅 Amazon EC2 SSM 调度。
-
- 管理 Amazon EC2 实例的包含标签和排除标签
-
-
包含标签:如果您未启用 GuardDuty 自动代理配置,而是使用包含标签 (
GuardDutyManaged:true) 来标记任何 Amazon EC2 实例,则 GuardDuty 会创建一个 SSM 关联,从而在选定的 EC2 实例上安装和管理安全代理。这是一种预期的行为,有助您仅管理选定 EC2 实例上的安全代理。有关更多信息,请参阅 运行时监控如何与 Amazon EC2 实例结合使用。要阻止 GuardDuty 安装和管理安全代理,请从这些 EC2 实例中移除包含标签。有关更多信息,请参阅《Amazon EC2 用户指南》中的添加和删除标签。
-
排除标签:如果您想为账户中的所有 EC2 实例启用 GuardDuty 自动代理配置,请确保没有使用排除标签 (
GuardDutyManaged:false) 标记任何 EC2 实例。
-
