# Activación de la supervisión en tiempo de ejecución para Amazon ECS
<a name="ecs-guard-duty-configure-automatic-guard-duty"></a>

Puede configurar GuardDuty para administrar automáticamente el agente de seguridad de todos los clústeres de Fargate.



## Requisitos previos
<a name="ecs-guard-duty-configure-automatic-guard-duty-prerequisite"></a>

A continuación se indican los requisitos previos para utilizar la supervisión en tiempo de ejecución:
+ Para Linux, la versión de la plataforma Fargate debe ser `1.4.0` o posterior. 
+ Roles de IAM y permisos para Amazon ECS:
  + Las tareas de Fargate deben tener un rol de ejecución de tareas. Este rol concede a las tareas permiso para recuperar, actualizar y administrar el agente de seguridad de GuardDuty en su nombre. Para obtener más información consulte () [Rol de IAM de ejecución de tareas de Amazon ECS](task_execution_IAM_role.md).
  + Usted controla la supervisión en tiempo de ejecución de un clúster con una etiqueta predefinida. Si sus políticas de acceso restringen el acceso en función de las etiquetas, debe conceder permisos explícitos a los usuarios de IAM para etiquetar los clústeres. Para obtener más información, consulte [IAM tutorial: Define permissions to access AWS resources based on tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
+ Conexión al repositorio de Amazon ECR:

  El agente de seguridad de GuardDuty se almacena en un repositorio de Amazon ECR. Todas las tareas independientes y de servicio deben tener acceso al repositorio. Puede utilizar una de las siguientes opciones:
  + Para las tareas en subredes públicas, puede utilizar una dirección IP pública para la tarea o puede crear un punto de conexión de VPC para Amazon ECR en la subred en la que se ejecuta la tarea. Para obtener más información, consulte [Puntos de conexión de VCP de la interfaz de Amazon ECR (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) en la *Guía del usuario de Amazon Elastic Container Registry*.
  + Para las tareas en subredes privadas, puede utilizar una puerta de enlace de traducción de direcciones de red (NAT) o crear un punto de conexión de VPC para Amazon ECR en la subred en la que se ejecuta la tarea.

    Para obtener más información, consulte [Subred privada y puerta de enlace NAT](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/networking-outbound.html#networking-private-subnet).
+ Debe tener el rol `AWSServiceRoleForAmazonGuardDuty` de GuardDuty. Para obtener más información, consulte [Service-linked role permissions for GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions.html) en la *Guía del usuario de Amazon GuardDuty*.
+ El usuario raíz debe poder acceder a todos los archivos que desee proteger con la supervisión en tiempo de ejecución. Si ha cambiado manualmente los permisos de un archivo, debe configurarlo en `755`.

A continuación, se indican los requisitos previos para utilizar la supervisión en tiempo de ejecución en instancias de contenedor de EC2:
+ Debe usar la versión `20230929` o posterior de Amazon ECS-AMI.
+ Debe ejecutar el agente de Amazon ECS en la versión `1.77` o posterior en las instancias de contenedor.
+ Debe usar la versión del kernel `5.10` o posterior.
+ Para obtener información sobre los sistemas operativos y las arquitecturas de Linux compatibles, consulte [Which operating models and workloads does GuardDuty Runtime Monitoring support](https://aws.amazon.com//guardduty/faqs/?nc1=h_ls#product-faqs#guardduty-faqs#guardduty-ecs-runtime-monitoring).
+ Puede usar Systems Manager para administrar sus instancias de contenedor. Para obtener más información, consulte [Configuración de Systems Manager para instancias de EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) en la *Guía del usuario de AWS Systems Manager Session Manager*.

## Procedimiento
<a name="ecs-guard-duty-configure-automatic-guard-duty-procedure"></a>

La supervisión en tiempo de ejecución se activa en GuardDuty. Para obtener información sobre cómo habilitar la característica, consulte [Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) en la *Guía del usuario de Amazon GuardDuty*.