# 向 Amazon ECS 集群添加运行时监控
<a name="ecs-guard-duty-configure-manual-customize"></a>

配置集群的运行时监控，然后在您的 EC2 容器实例上安装 GuardDuty 安全代理。

## 先决条件
<a name="ecs-guard-duty-configure-manual-customize-prereq"></a>

1. 开启运行时监控。有关更多信息，请参阅 [为 Amazon ECS 开启运行时监控](ecs-guard-duty-configure-manual-guard-duty.md)。

1. 您可以使用预定义的标签来控制集群的运行时监控。如果您的访问策略基于标签限制访问，则必须向您的 IAM 用户授予标记集群的明确权限。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 教程：基于标签定义访问 AWS 资源的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。

## 过程
<a name="ecs-guard-duty-configure-manual-customize-procedure"></a>

执行以下操作以将运行时监控添加到集群中。

1. 为每个集群 VPC 创建 GuardDuty 的 VPC 端点。有关更多信息，请参阅《GuardDuty 用户指南》**中的[手动创建 Amazon VPC 端点](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#creating-vpc-endpoint-ec2-agent-manually)。

1. 配置 EC2 容器实例。

   1. 在集群中的 EC2 容器实例上，将 Amazon ECS 代理更新到版本 `1.77` 或更高版本。有关更多信息，请参阅 [更新 Amazon ECS 容器代理](ecs-agent-update.md)。

   1. 在集群中的 EC2 容器实例上，安装 GuardDuty 安全代理。有关更多信息，请参阅《GuardDuty 用户指南》**中的[手动管理 Amazon EC2 实例上的安全代理](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html)。

      由于 GuardDuty 安全代理在 EC2 容器实例上作为一个进程运行，因此所有新任务和现有任务以及部署都将立即受到保护。

1. 使用 Amazon ECS 控制台或 AWS CLI 将集群上的 `GuardDutyManaged` 标签密钥设置为 `true`。有关更多信息，请参阅[更新集群](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-cluster-v2.html)或[使用 CLI 或 API 处理标签](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html#tag-resources-api-sdk)。为标签使用以下值。
**注意**  
键和值区分大小写，并且必须与字符串完全匹配。

   键 = `GuardDutyManaged`，值 = `true`