本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將執行時期監控新增至 Amazon ECS 叢集
<a name="ecs-guard-duty-configure-manual-customize"></a>

設定叢集的執行時期監控，然後在 EC2 容器執行個體上安裝 GuardDuty 安全代理程式。

## 先決條件
<a name="ecs-guard-duty-configure-manual-customize-prereq"></a>

1. 啟用執行時期監控。如需詳細資訊，請參閱[啟用 Amazon ECS 的執行時期監控](ecs-guard-duty-configure-manual-guard-duty.md)。

1. 您可以使用預先定義的標籤控制叢集的執行時期監控。如果存取政策依據標籤限制存取權，您必須明確授予 IAM 使用者標記叢集的權限。如需詳細資訊，請參閱《[IAM 使用者指南》中的 IAM 教學課程：定義根據標籤存取 AWS 資源的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。 **

## 程序
<a name="ecs-guard-duty-configure-manual-customize-procedure"></a>

請執行下列操作，將執行時期監控新增至叢集。

1. 為每個叢集 VPC 建立用於 GuardDuty 的 VPC 端點。如需詳細資訊，請參閱 *GuardDuty User Guide* 中的 [Creating Amazon VPC endpoint manually](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#creating-vpc-endpoint-ec2-agent-manually)。

1. 設定 EC2 容器執行個體。

   1. 將叢集中 EC2 容器執行個體上的 Amazon ECS 代理程式更新為 `1.77` 版或更新版本。如需更多資訊，請參閱[更新 Amazon ECS 容器代理程式](ecs-agent-update.md)。

   1. 在叢集中的 EC2 容器執行個體上安裝 GuardDuty 安全代理程式。如需詳細資訊，請參閱 *GuardDuty User Guide* 中的 [Managing the security agent on an Amazon EC2 instance manually](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html)。

      所有新的與現有的任務及部署都會立即受到保護，因為 GuardDuty 安全代理程式會在 EC2 容器執行個體上作為程序執行。

1. 使用 Amazon ECS 主控台或 將叢集上的 AWS CLI `GuardDutyManaged`標籤金鑰設定為 `true`。如需詳細資訊，請參閱[更新叢集](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-cluster-v2.html)或[透過 CLI 或 API 使用標籤](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html#tag-resources-api-sdk)。請對標籤使用以下值。
**注意**  
鍵與值區分大小寫，且必須與字串完全相符。

   索引鍵 = `GuardDutyManaged`，值 = `true`