# Amazon ECS クラスターのランタイムモニタリングを追加する
クラスターのランタイムモニタリングを設定し、EC2 コンテナインスタンスに GuardDuty セキュリティエージェントをインストールします。
## 前提条件
1. ランタイムモニタリングを有効にします。詳細については、「[Amazon ECS のランタイムモニタリングを有効にする](ecs-guard-duty-configure-manual-guard-duty.md)」を参照してください。
1. 事前定義されたタグを使用してクラスターのランタイムモニタリングを制御します。アクセスポリシーによりタグに基づいてアクセスが制限されている場合は、クラスターにタグを付けるための明示的なアクセス許可を IAM ユーザーに付与する必要があります。詳細については、「*IAM ユーザーガイド*」の「[IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## 手順
以下の操作を実行して、ランタイムモニタリングをクラスターに追加します。
1. クラスター VPC ごとに GuardDuty 用の VPC エンドポイントを作成します。詳細については、「*GuardDuty ユーザーガイド*」の「[Amazon VPC エンドポイントの手動作成](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#creating-vpc-endpoint-ec2-agent-manually)」を参照してください。
1. EC2 コンテナインスタンスを設定します。
1. クラスター内の EC2 コンテナインスタンスの Amazon ECS エージェントをバージョン `1.77` 以降に更新します。詳細については、「[Amazon ECS コンテナエージェントをアップデートする](ecs-agent-update.md)」を参照してください。
1. クラスターの EC2 コンテナインスタンスに GuardDuty セキュリティエージェントをインストールします。詳細については、「*GuardDuty ユーザーガイド*」の「[Amazon EC2 インスタンスのセキュリティエージェントの手動管理](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html)」を参照してください。
GuardDuty セキュリティエージェントは EC2 コンテナインスタンス上のプロセスとして実行されるため、新規および既存のタスク、デプロイはすべて即座に保護されます。
1. Amazon ECS コンソール または AWS CLI を使用して、クラスターの `GuardDutyManaged` タグキーを `true` に設定します。詳細については、「[クラスターの更新](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-cluster-v2.html)」または「[CLI または API を使用したタグの操作](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html#tag-resources-api-sdk)」を参照してください。タグに以下の値を使用します。
**注記**
Key と Value は大文字と小文字が区別され、この文字列と完全に一致する必要があります。
Key = `GuardDutyManaged`、Value = `true`