# Ativação do monitoramento de runtime para o Amazon ECS
É possível configurar o GuardDuty para gerenciar automaticamente o agente de segurança para todos os clusters do Fargate.
## Pré-requisitos
Estes são os pré-requisitos para usar o monitoramento de runtime:
+ A versão da plataforma do Fargate deve ser `1.4.0` ou posterior para Linux.
+ Permissões e perfis do IAM para Amazon ECS:
+ As tarefas do Fargate devem usar um perfil de execução de tarefas. Esse perfil concede às tarefas permissão para recuperar, atualizar e gerenciar o agente de segurança do GuardDuty em seu nome. Para obter mais informações, consulte [Perfil do IAM de execução de tarefas do Amazon ECS](task_execution_IAM_role.md).
+ Você controla o monitoramento de runtime de um cluster com uma tag predefinida. Se suas políticas de acesso restringirem o acesso com base em tags, você deve conceder permissões explícitas aos usuários do IAM para marcar clusters. Para obter mais informações, consulte [Tutorial do IAM: Definir permissões para acessar recursos da AWS com base em tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
+ Conectar-se ao repositório do Amazon ECR:
O agente de segurança do GuardDuty é armazenado em um repositório do Amazon ECR. Cada tarefa autônoma e de serviço deve ter acesso ao repositório. É possível usar uma das opções a seguir:
+ Para tarefas em sub-redes públicas, você pode usar um endereço IP público para a tarefa ou criar um endpoint da VPC para o Amazon ECR na sub-rede em que a tarefa é executada. Para obter mais informações, consulte [Endpoints da VPC de interface do Amazon ECR (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) no *Guia do usuário do Amazon Elastic Container Registry*.
+ Para tarefas em sub-redes privadas, você pode usar um gateway de conversão de endereços de rede (NAT) ou criar um endpoint da VPC para o Amazon ECR na sub-rede em que a tarefa é executada.
Para obter mais informações, consulte [Sub-rede privada e gateway de NAT](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/networking-outbound.html#networking-private-subnet).
+ É necessário ter o perfil `AWSServiceRoleForAmazonGuardDuty` do GuardDuty. Para obter mais informações, consulte [Service-linked role permissions for GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions.html) no *Guia do usuário do Amazon GuardDuty*.
+ Todos os arquivos que deseja proteger com o monitoramento de runtime devem estar acessíveis pelo usuário-raiz. Caso tenha alterado manualmente as permissões de um arquivo, você deve configurá-lo como `755`.
Estes são os pré-requisitos para usar o monitoramento de runtime em instâncias de contêiner do EC2:
+ Você deve usar a versão `20230929` ou posterior da AMI do Amazon ECS.
+ Você deve executar o agente do Amazon ECS para a versão `1.77` ou posterior nas instâncias de contêiner.
+ Você deve usar a versão `5.10` ou posterior do kernel.
+ Para obter informações sobre os sistemas operacionais e arquiteturas Linux compatíveis, consulte [Which operating models and workloads does GuardDuty Runtime Monitoring support](https://aws.amazon.com//guardduty/faqs/?nc1=h_ls#product-faqs#guardduty-faqs#guardduty-ecs-runtime-monitoring).
+ É possível usar o Systems Manager para gerenciar as instâncias de contêiner. Para obter mais informações, consulte [Configuração do Systems Manager para instâncias do EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) no *Guia do usuário do AWS Systems Manager Session Manager*.
## Procedimento
Você habilita o monitoramento de runtime no GuardDuty. Para obter informações sobre como habilitar o recurso, consulte [Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) no *Guia do usuário do Amazon GuardDuty*.