Offboard von AMS-Landingzone-Konten mit mehreren Konten - AMS-Benutzerhandbuch für Fortgeschrittene
Aufgaben für den weiteren Betrieb von Konten mit AuslandsbezugKonten für externe AnwendungenExterne Core-KontenÄnderungen beim OffboardingAuf Alternativen zugreifenDeaktivieren Sie EC2 AMS-StartskriptsPBIS Open/Enterprise (AD-Brücke)Trend Micro Deep Security

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Offboard von AMS-Landingzone-Konten mit mehreren Konten

Es gibt zwei Arten von AWS Konten, die Sie aus der AMS Advanced-Landingzone für mehrere Konten auslagern können:

  • Konten für Anwendungen

  • Kernkonten

Um alle Konten aus Ihrer AMS-Landezone für mehrere Konten auszulagern, müssen Sie zuerst alle Anwendungskonten auslagern, bevor Sie Core-Konten auslagern.

Wenn Sie Workloads auf ausgelagerten Anwendungs- oder Core-Konten übernehmen und weiterführen möchten, stellen Sie sicher, dass Sie diese Dokumentation zusammen mit Ihrem AMS-Kundenbetreuungsteam überprüfen. In dieser Dokumentation werden die Änderungen beschrieben, die AMS während des Offboard-Prozesses vornimmt.

Aufgaben, die für den weiteren Betrieb der ausgelagerten Konten zu erledigen sind

Die folgenden Aufgaben sind für den weiteren Betrieb von Konten erforderlich, die Sie aus der AMS-Landingzone für mehrere Konten ausgebucht haben:

  • Aktivieren Sie den Entwicklermodus: Um mehr Berechtigungen für Ihre Konten zu erhalten, aktivieren Sie den Entwicklermodus, bevor Sie Anwendungskonten von AMS entfernen. Wenn Sie den Entwicklermodus aktivieren, können Sie leichter die erforderlichen Änderungen vornehmen, um sich auf das Offboarding vorzubereiten. Versuchen Sie nicht, AMS-Infrastrukturressourcen zu entfernen oder zu ändern. Wenn Sie AMS-Infrastrukturressourcen löschen, kann AMS Ihr Konto möglicherweise nicht erfolgreich auslagern. Informationen zur Aktivierung des Entwicklermodus finden Sie unterErste Schritte mit dem AMS Advanced Developer Mode.

    Wenn Sie die notwendigen Änderungen zur Vorbereitung auf das Offboarding nicht vornehmen können, nachdem Sie den Entwicklermodus aktiviert haben, wenden Sie sich an Ihr AMS-Kundenbetreuungsteam, um Ihre Anforderungen zu besprechen.

  • Wählen Sie eine alternative Methode für den EC2 Stack-Zugriff: Nachdem Sie Anwendungskonten von AMS entfernt haben, können Sie sie nicht mehr für den RFCs Zugriff auf Ihre Stack-Ressourcen verwenden. Prüfen Änderungen beim Offboarding Sie dies und wählen Sie dann eine alternative Zugriffsmethode aus, damit Sie weiterhin Zugriff auf Ihre Stacks haben. Weitere Informationen finden Sie unter Auf Alternativen zugreifen.

Externe AMS-Anwendungskonten

Um Anwendungskonten aus Ihrer Landingzone-Umgebung mit mehreren Konten zu entfernen, führen Sie für jedes Konto die folgenden Schritte aus:

  1. Vergewissern Sie sich, dass das Konto keine offenen RFCs Konten enthält. Weitere Informationen finden Sie unter Erstellen, Klonen, Aktualisieren, Suchen und Stornieren RFCs.

  2. Vergewissern Sie sich, dass Sie auf die E-Mail-Adresse des primären Benutzers oder des Stammbenutzers für das Konto zugreifen können.

  3. Senden Sie vom Anwendungskonto aus einen RFC mit dem Änderungstyp Anwendungskonto | Offboarding bestätigen (ct-2wlfo2jxj2rkj). Geben Sie im RFC das Anwendungskonto für Offboard an.

  4. Senden Sie vom Verwaltungskonto aus einen RFC mit dem Änderungstyp Verwaltungskonto | Offboard-Anwendungskonto (ct-0vdiy51oyrhhm). Geben Sie im RFC das Anwendungskonto „Offboard“ an. Geben Sie außerdem an, ob Sie die Transit-Gateway-Verbindung zur landing zone löschen oder beibehalten möchten.

  5. Um sicherzustellen, dass die AMS-Abrechnung gestoppt wird, teilen Sie Ihrem CSDM mit, dass Sie das Konto ausgebucht haben.

Nach dem Offboarding des Anwendungskontos geschieht Folgendes:

  • Alle Komponenten werden von den AMS-Diensten getrennt, aber Ihre erstellten Ressourcen verbleiben im Konto. Sie können wählen, ob Sie das AMS-Offboarding-Konto behalten oder schließen möchten.

  • Hauptkonten und andere verbleibende Anwendungskonten funktionieren normal, nachdem ein Anwendungskonto ausgelagert wurde.

  • Die AMS-Abrechnung wird gestoppt, aber die AWS Abrechnung wird erst gestoppt, wenn Sie das Konto schließen. Weitere Informationen finden Sie unter Was Sie wissen müssen, bevor Sie Ihr Konto schließen.

  • Wenn ein Konto geschlossen ist, ist das Konto in Ihrer Organisation im suspended Bundesstaat 90 Tage lang sichtbar. Nach 90 Tagen wird das geschlossene Konto dauerhaft entfernt und ist in Ihrer Organisation nicht mehr sichtbar.

  • Nachdem das Konto geschlossen wurde, können Sie sich weiterhin anmelden und eine Support-Anfrage einreichen oder 90 Tage Support lang Kontakt aufnehmen.

  • Nach 90 Tagen werden alle Inhalte, die im Konto verbleiben, dauerhaft gelöscht und die verbleibenden AWS Dienste werden beendet.

F: Kann ich meine föderierten IAM-Rollen verwenden, um weiterhin auf ein Anwendungskonto zuzugreifen, das ich von meiner AMS-Landingzone mit mehreren Konten aus dem Offboarding genommen habe?

Ja. Von AMS erstellte Standardrollen AWS Identity and Access Management (IAM) bleiben auch nach dem Offboarding von AMS im Konto verfügbar. Diese Rollen und Richtlinien sind jedoch für die Verwendung mit der AMS-Zugriffsverwaltung konzipiert. Um Ihren Benutzern den erforderlichen Zugriff zu gewähren, müssen Sie möglicherweise Ihre eigenen IAM-Ressourcen bereitstellen.

F: Wie erhalte ich vollen Zugriff auf ein Anwendungskonto, das ich von meiner AMS-Landezone für mehrere Konten aus ausgebucht habe?

Konten für ausgelagerte Anwendungen werden in der Kontostruktur in die veraltete Organisationseinheit (OU) verschoben. AWS Organizations Durch diesen Schritt werden die SCP-Zugriffsbeschränkungen aufgehoben, die zuvor den Root-Benutzerzugriff blockierten. Informationen zum Zurücksetzen der Root-Benutzeranmeldedaten finden Sie unter Ein verloren gegangenes oder vergessenes Root-Benutzerkennwort zurücksetzen.

F: Welche Änderungen werden beim Offboarding des Anwendungskontos vorgenommen?

Informationen zu den Maßnahmen, die AMS ergreift, wenn der Dienst Konten auslagert, finden Sie unter. Änderungen beim Offboarding

F: Kann ich ein Anwendungskonto auslagern, ohne es vom Transit-Gateway zu trennen?

Ja. Verwenden Sie den Änderungstyp Verwaltungskonto | Offboard-Anwendungskonto (ct-0vdiy51oyrhhm), um den RFC zu senden, und geben Sie den Parameter als an. DeleteTransitGatewayAttachment False

F: Wie lange dauert es, ein Anwendungskonto auszulagern?

Wenn Sie das Verwaltungskonto | Offboard-Anwendungskonto (ct-0vdiy51oyrhhm) verwenden, ändern Sie den Typ und schließen Sie den Vorgang innerhalb von 1 Stunde ab. RFCs

F: Muss ich das ausgelagerte Konto schließen?

Nein. Eine Kontoschließung nach dem Offboarding von AMS ist nicht verpflichtend. Während des Offboarding-Vorgangs entzieht AMS den Zugriff auf Ihr Konto und die Verwaltung Ihres AWS Kontos, Ihr Konto und Ihre Ressourcen verbleiben jedoch innerhalb des Kontos. Es ist wichtig zu beachten, dass Sie nach dem Offboarding von AMS allein für die Verwaltung und Pflege Ihres AWS Kontos und Ihrer Ressourcen verantwortlich sind. AMS ist nicht verantwortlich für Probleme, Vorfälle oder Serviceunterbrechungen, die nach Abschluss des Offboarding-Prozesses in Ihrem Konto auftreten könnten. Weitere Informationen finden Sie unter Wie schließe ich mein Konto? AWS .

F: Werden alle vorhandenen Ressourcen sofort gelöscht, wenn ich eine Anfrage zur Kontoschließung einreiche?

Nein. Durch die Schließung Ihres Kontos werden Ihre Ressourcen nicht gelöscht. Ressourcen auf dem Konto werden 90 Tage nach der Anfrage zur Schließung automatisch gelöscht. Die AMS-Abrechnung wird eingestellt, aber die AWS Ressourcenabrechnung wird erst beendet, wenn Sie das Konto schließen. Weitere Informationen finden Sie unter Was Sie wissen müssen, bevor Sie Ihr Konto schließen.

F: Kann ich das Offboarding eines Anwendungskontos planen?

Ja. Sie können das so planen RFCs , dass es zu einer bestimmten Zeit ausgeführt wird. Der RFC Application Account | Confirm Offboarding muss jedoch abgeschlossen sein, bevor Sie den RFC Management Account | Offboard Application Account planen können. Weitere Informationen finden Sie unter RFC-Planung.

  • R: Verantwortliche Partei. Die Partei, die für die Ausführung der aufgelisteten Aufgabe verantwortlich ist.

  • A: Rechenschaftspflichtige Partei. Die Partei, die die abgeschlossene Aufgabe genehmigt.

  • C: Konsultierte Partei. Eine Partei, deren Meinungen eingeholt werden, in der Regel als Fachexperten, und mit der bilaterale Kommunikation besteht.

  • I: Informierte Partei. Eine Partei, die über den Fortschritt informiert wird, oft erst nach Abschluss der Aufgabe oder des Liefergegenstands.

Aktivität Customer AWS Managed Services (AMS)
Voraussetzungen
Überprüfen Sie den Zugriff auf die Root-E-Mail-Adresse für jede AWS Konto-ID, die ausgelagert werden soll R C
Lesen Sie die AMS-Dokumentation zu den empfohlenen Kundenmaßnahmen und bereiten Sie Konten für das AMS-Offboarding vor R C
Reichen Sie bei Bedarf einen RFC ein, um den Entwicklermodus zur Vorbereitung der Konten für das AMS-Offboarding zu aktivieren R I
Wählen Sie bei Bedarf eine alternative Methode für den EC2 Stack-Zugriff. R I
Offboarding
Abschicken RFCs , um das Offboarding von Anwendungskonten zu bestätigen und zu beantragen R I
Integrieren Sie AMS-Komponenten aus Anwendungskonten I R
Informieren Sie AMS CSDM über ausgelagerte Konten, um die AMS-Abrechnung zu beenden R I
Nach dem Offboarding
Setzen Sie das Passwort für das Root-Benutzerkonto zurück und überprüfen Sie den Root-Zugriff auf externe Konten R C
Schließen Sie das Konto oder folgen Sie den Anweisungen von AMS zu den empfohlenen Kundenmaßnahmen in der AMS-Offboarding-Dokumentation, um die Konten weiter zu betreiben R C

Core-Konten außerhalb des Unternehmens

Gehen Sie wie folgt vor, um Landingzone-Core-Konten mit mehreren Konten zu offboarden:

  1. Stellen Sie sicher, dass alle Anwendungskonten in der landing zone von AMS ausgegliedert wurden.

  2. Vergewissern Sie sich, dass RFCs in den Konten keine offenen Konten vorhanden sind. Weitere Informationen finden Sie unter Erstellen, Klonen, Aktualisieren, Suchen und Stornieren RFCs.

  3. Stellen Sie sicher, dass Sie für alle Core-Konten auf die primäre E-Mail-Adresse oder die E-Mail-Adresse des Root-Benutzers zugreifen können. Weitere Informationen finden Sie unter Landing Zone-Konten mit mehreren Konten.

  4. Stellen Sie sicher, dass Sie auf die Primär- oder Root-Benutzer-Telefonnummer für das Verwaltungskonto zugreifen können. Verwenden Sie die AWSManagedServicesBillingRole IAM-Rolle, um die Telefonnummer zu aktualisieren. Weitere Informationen finden Sie unter Wie aktualisiere ich meine Telefonnummer, die mit meinem AWS Konto verknüpft ist? .

  5. Loggen Sie sich in Ihr AMS-Landing landing zone Management-Konto ein und reichen Sie eine AMS-Serviceanfrage ein. Geben Sie in der Serviceanfrage an, dass Sie Ihre gesamte landing zone verlassen möchten.

Nach dem Offboarding der Core-Konten geschieht Folgendes:

  • Alle Komponenten werden von den AMS-Diensten getrennt, einige AWS Ressourcen verbleiben jedoch im Konto. Sie können wählen, ob Sie die ausgelagerten AMS-Core-Konten behalten oder schließen möchten.

  • Die AMS-Abrechnung wird gestoppt, aber die AWS Abrechnung wird erst gestoppt, wenn Sie das Konto schließen. Weitere Informationen finden Sie unter Was Sie wissen müssen, bevor Sie Ihr Konto schließen.

  • Wenn ein Konto geschlossen ist, ist das Konto in Ihrer Organisation im suspended Bundesstaat 90 Tage lang sichtbar. Nach 90 Tagen wird das geschlossene Mitgliedskonto dauerhaft entfernt und ist in Ihrer Organisation nicht mehr sichtbar.

  • Nachdem das Konto geschlossen wurde, können Sie sich weiterhin anmelden und eine Support-Anfrage einreichen oder 90 Tage Support lang Kontakt aufnehmen.

  • Nachdem das Konto für 90 Tage geschlossen wurde, werden alle Inhalte, die im Konto verbleiben, dauerhaft gelöscht, und die verbleibenden AWS Dienste werden beendet.

F: Kann ich meine föderierten IAM-Rollen verwenden, um weiterhin auf die ausgelagerten Core-Konten zuzugreifen?

Ja. Von AMS erstellte Standardrollen AWS Identity and Access Management (IAM) bleiben im ausgelagerten Konto verfügbar. Diese Rollen und Richtlinien sind jedoch für die Verwendung mit der AMS-Zugriffsverwaltung konzipiert. Um Ihren Benutzern den erforderlichen Zugriff zu gewähren, müssen Sie möglicherweise Ihre eigenen IAM-Ressourcen bereitstellen.

F: Wie erhalte ich vollen Zugriff auf das Management-, Shared Services-, Networking- oder ein anderes MALZ-Konto ohne Anwendung, nachdem ich von der AMS-Landingzone für mehrere Konten ausgegliedert wurde?

Folgen Sie nach dem Offboarding den Anweisungen unter Zurücksetzen eines verlorenen oder vergessenen Root-Benutzerpassworts, um die primären (Root-) Benutzeranmeldedaten für den Zugriff auf andere Core-Konten als das Verwaltungskonto zu verwenden. Im Gegensatz zu anderen Kontotypen behält das Verwaltungskonto ein Gerät mit Multi-Faktor-Authentifizierung (MFA), auf das nicht zugegriffen werden kann, das dem Root-Benutzer zugeordnet ist, um die Nutzung zu verhindern. Um den Root-Zugriff wiederzuerlangen, müssen Sie den Wiederherstellungsprozess für verlorene MFA-Geräte befolgen.

F: Welche Änderungen werden beim Offboarding des Core-Kontos vorgenommen?

Informationen zu den Maßnahmen, die AMS ergreift, wenn der Dienst Konten auslagert, finden Sie unter. Änderungen beim Offboarding

F: Wie lange dauert es, bis das Offboarding eines Core-Kontos abgeschlossen ist?

Der Offboarding-Prozess für das Core-Konto dauert in der Regel bis zu 30 Tage. Um jedoch sicherzustellen, dass alle erforderlichen Schritte korrekt abgeschlossen wurden, müssen Sie die Offboarding-Anfrage mindestens 7 Tage vor Beginn des Offboardings stellen. Um einen einfachen Übergang zu ermöglichen, planen Sie im Voraus und reichen Sie Ihre Offboarding-Anfrage im Voraus ein.

F: Wie verwalte ich gemeinsam genutzte Komponenten nach dem Offboarding von AMS?

AMS Managed Active Directory und andere Shared Services-Infrastrukturkomponenten sind für den Zugriff durch AMS-Betreiber konzipiert. Möglicherweise müssen Sie die Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2), die AWS Organizations Service Control Policy (SCP) aktualisieren oder andere Änderungen vornehmen, um vollen Zugriff auf diese Komponenten zu behalten.

F: Kann ich ausgelagerte Core-Konten schließen?

Standardmäßig haben Anwendungskonten mehrere Abhängigkeiten von MALZ Core-Konten, z. B. AWS Organizations Mitgliedschaft, Transit-Gateway-Netzwerkkonnektivität und DNS-Auflösung über AMS Managed Active Directory. Nachdem Sie diese Abhängigkeiten gelöst haben, können Sie das ausgelagerte Core-Konto außer Betrieb nehmen und schließen. Weitere Informationen finden Sie unter Landing Zone-Konten mit mehreren Konten.

  • R: Verantwortliche Partei. Die Partei, die für die Ausführung der aufgelisteten Aufgabe verantwortlich ist.

  • A: Rechenschaftspflichtige Partei. Die Partei, die die abgeschlossene Aufgabe genehmigt.

  • C: Konsultierte Partei. Eine Partei, deren Meinungen eingeholt werden, in der Regel als Fachexperten, und mit der bilaterale Kommunikation besteht.

  • I: Informierte Partei. Eine Partei, die über den Fortschritt informiert wird, oft erst nach Abschluss der Aufgabe oder des Liefergegenstands.

Aktivität Customer AWS Managed Services (AMS)
Voraussetzungen
Überprüfen Sie den Zugriff auf die Root-E-Mail-Adresse für jede AWS-Konto-ID, die ausgelagert wird R C
Überprüfen Sie den Zugriff auf das Verwaltungskonto und aktualisieren Sie die Root-Benutzer-Telefonnummer R C
Lesen Sie die AMS-Dokumentation zu den empfohlenen Kundenmaßnahmen und bereiten Sie Konten für das AMS-Offboarding vor R C
Ausgliederung
Serviceanfrage einreichen, um das Offboarding der landing zone zu beantragen R I
Integrieren Sie AMS-Komponenten aus Core-Konten I R
Nach dem Offboarding
Setzen Sie das Passwort für das Root-Benutzerkonto zurück und überprüfen Sie den Root-Zugriff auf externe Konten R C
Schließen Sie die Konten oder folgen Sie den Anweisungen von AMS zu den empfohlenen Kundenmaßnahmen in der AMS-Offboarding-Dokumentation, um die Konten weiter zu verwalten R C

Änderungen beim Offboarding

In der folgenden Tabelle werden die Maßnahmen, die AMS beim Offboarding von landing zone mit mehreren Konten ergreift, mögliche Auswirkungen und empfohlene Maßnahmen beschrieben.

Komponente Account type (Art des Kontos) Maßnahmen, die für das Offboarding ergriffen wurden Mögliche Auswirkungen Empfohlene Maßnahmen für Kunden
Zugriffsverwaltung Konten für Anwendungen

Nach dem Offboarding kann der Stack-Zugriff RFCs für just-in-time zeitgebundenen Zugriff nicht mehr über AMS Bastion-Hosts an EC2 Access-Stacks weitergeleitet werden

AMS verwaltet keine zugriffsbezogenen Komponenten mehr auf vorhandenen EC2 Ressourcen-Stacks (PBIS Open Agent, Domain-Join-Skripte)

AMS-Bastionen können nicht über RFS für den Zugriff auf Instanzen verwendet werden EC2

EC2 Instanzen, die von einem anderen Anbieter als AMS gestartet wurden, AMIs sind nicht mit der verwalteten Active Directory-Domäne verbunden

Wenn sie nicht entfernt werden, können AMS-Startskripts in vorhandenen Ressourcenstapeln aufgrund fehlender AMS-Abhängigkeiten zu Fehlern führen und den erneuten Beitritt zu einer anderen Domäne verhindern

Verwenden Sie alternative Methoden, um auf die EC2 Instanz zuzugreifen (siehe) Auf Alternativen zugreifen

Entfernen Sie AMS-Startskripts aus vorhandenen EC2 Ressourcenstapeln (sieheDeaktivieren Sie EC2 AMS-Startskripts)

Zugriffsverwaltung (Fortsetzung) Kernkonten Wenn Sie von PBIS Open zu PBIS Enterprise (AD Bridge) migriert sind, verlängert AMS die Lizenzierung nach dem Offboarding des Kernkontos nicht mehr Wenn die PBIS Enterprise-Lizenz ablaufen darf, sind die Active Directory-Anmeldeinformationen für bestehende Linux-basierte Instance-Stacks nicht gültig EC2 Wenn Sie zu PBIS Enterprise (AD Bridge) migriert haben, entscheiden Sie, ob Sie die Lizenzierung beibehalten oder außer Betrieb nehmen möchten (siehe) PBIS Open/Enterprise (AD-Brücke)
Protokollierung, Überwachung, Verwaltung Incident/Event Anwendungs- und Core-Konten

Die bereitzustellenden Warnmeldungen aus der Basisüberwachung in AMS AMS-Komponenten wurden entfernt

Bestehende bereitgestellte CloudWatch Amazon-Alarme bleiben bestehen, führen aber nicht mehr zu AMS-Vorfällen

AWS Config Aggregationsberechtigungen von AMS und dem MALZ Core-Sicherheitskonto werden entfernt

AWS Config Regeln bleiben implementiert und Amazon GuardDuty bleibt aktiviert, erzeugt aber keine AMS-Vorfälle mehr

Bei neu erstellten Ressourcen wurden keine AMS-Basisüberwachung und Alarme angewendet

Alarme und Sicherheitsereignisse aufgrund von Infrastrukturkennzahlen führen nicht mehr zu AMS-Vorfällen

AWS Config wird nicht mehr in einem zentralen Konto zusammengefasst

Definieren, erfassen und analysieren Sie Betriebsmetriken, um Workload-Ereignisse einzusehen und geeignete Maßnahmen zu ergreifen.

Implementieren Sie alle erforderlichen Alarm-Workflows, um weiterhin die erforderliche Betriebsüberwachung und Alarme auf neue Ressourcen anzuwenden und Sicherheitswarnungen von AWS Config und Amazon zu erhalten GuardDuty.

Kontinuitätsmanagement (Backup und Wiederherstellung) Anwendungskonten

AMS überwacht keine Backup-Jobs mehr und führt keine Sicherungs- und Wiederherstellungsanfragen mehr aus

Die standardmäßigen Backup-Tresore, der Backup-Verschlüsselungsschlüssel und die Backup-Rolle von AMS bleiben erhalten

Fehler beim Backup-Vorgang werden möglicherweise nicht bemerkt Überwachen und überprüfen Sie die Konfigurationen des Backup-Plans
Patch-Management Anwendungs- und Core-Konten

AMS überwacht die erfolgreiche Ausführung von Patch-Vorgängen nicht mehr und führt auch keine manuellen Patches mehr durch

AMS aktualisiert die AMS-Infrastrukturkomponenten nicht mehr

Von AMS bereitgestellte Patch-Baselines werden beibehalten

Von AMS bereitgestellte Runbooks zur AWS Systems Manager Patch-Automatisierung werden nicht gemeinsam genutzt und können nicht mehr verwendet werden

Fehler beim Patchen werden möglicherweise nicht bemerkt

Bestehende Patch-Konfigurationen, die von AMS bereitgestellten Systems Manager Automation-Runbooks abhängen, müssen neu konfiguriert werden, damit sie unterbrechungsfrei weiterlaufen.

Überprüfen und konfigurieren Sie die Patching-Konfigurationen nach Bedarf neu
Netzwerkmanagement Anwendungskonten Falls angegeben, wird der Transit-Gateway-Anhang aus dem Offboarding-Anwendungskonto entfernt Das externe Anwendungskonto kann kein Transit-Gateway mehr für den Zugriff auf gemeinsame Dienste wie verwaltetes Active Directory oder andere Anwendungskonten verwenden Geben Sie anFalse, DeleteTransitGatewayAttachment ob die Transit-Gateway-Konnektivität beibehalten werden soll
Sicherheitsmanagement Anwendungskonten

Das Konto ist von der zentralen Trend Micro DSM-Konsole getrennt. Außerdem leiten Endpunkt-Agents keine Warnmeldungen mehr über den AMS-Incident-Prozess weiter

Trend Micro Agents bleiben installiert, werden aber nicht mehr von AMS verwaltet oder aktualisiert

Von AMS bereitgestellte AMI-Anpassungen, die den Trend Micro Agent einsetzen, werden von AMS nicht mehr verwaltet oder aktualisiert

EC2 Malware-Funde auf Instanzendpunkten werden möglicherweise nicht bemerkt

Der Trend Micro Agent wird nicht auf EC2 Instances installiert, die nicht von AMS aus gestartet werden AMIs

Erwägen Sie, ob Sie Trend Micro weiterführen oder beenden möchten (sieheTrend Micro Deep Security)
Sicherheitsverwaltung (Fortsetzung) Kernkonten

Die Trend Micro DSM-Infrastruktur bleibt innerhalb der Shared Services-Konten erhalten, wird aber nicht mehr von AMS verwaltet oder aktualisiert

Trend Micro DSM leitet Warnmeldungen nicht mehr über den AMS-Incident-Prozess weiter

EC2 Malware-Funde auf Instanzendpunkten bleiben möglicherweise unbemerkt

EC2 Der Endpunktschutz von Instanzen kann beeinträchtigt werden, wenn die Infrastruktur nicht gewartet wird (Definitionsupdates, Lizenzierung usw.)

Entscheiden Sie, ob Sie Trend Micro fortsetzen oder beenden möchten (siehe) Trend Micro Deep Security
Änderungsmanagement Anwendungs- und Core-Konten

Die AMS RFC-Konsole und die API wurden entfernt

Benutzerdefinierte AMS-Dienststeuerungsrichtlinien (SCPs), die Zugriffsbeschränkungen auf Kontoebene enthalten, werden beim Offboarding von Anwendungskonten getrennt und beim Offboarding von Core-Konten gelöscht

Sie müssen eine native AWS API verwenden, um neue Ressourcen zu erstellen, bestehende Ressourcen zu ändern oder bestehende Stacks zu aktualisieren AWS CloudFormation

Zugriffsbeschränkungen werden nicht mehr auf Kontoebene über das bereitgestellte AMS auferlegt SCPs

Stellen Sie sicher, dass Benutzerrollen ausreichend Zugriff für die Nutzung der Dienste bieten AWS

Erstellen Sie SCPs , um Berechtigungseinschränkungen auf Kontoebene bereitzustellen

AMS OS-Images und Automatisierungen für das Servicemanagement Anwendungs- und Core-Konten

AMS bietet keinen Support mehr für Anpassungen und Startskripte, die in den bereitgestellten AMS enthalten sind EC2 AMIs

Von AMS bereitgestellte EC2 AMIs Dienste sind weiterhin auf Ihren ausgelagerten Konten verfügbar

Von AMS bereitgestellte Systems Manager Automation-Runbooks werden nicht gemeinsam genutzt und können nicht mehr verwendet werden

Nach dem Offboarding hat AMS aufgrund fehlender Abhängigkeiten von AMS-Komponenten das AWS CloudFormation Sende-CFN-Signal AMIs FAILURE gestartet

Betriebsprozesse, die von den von AMS bereitgestellten Systems Manager Automation-Runbooks abhängen, können fehlschlagen

Überprüfen und aktualisieren Sie alle Build- oder Betriebsprozesse, die von von AMS bereitgestellten Runbooks AMIs oder Systems Manager Automation-Runbooks abhängig sind
Infrastruktur für gemeinsam genutzte Dienste Kernkonten Der AMS-Zugriff wurde aufgehoben und AMS verwaltet keine gemeinsam genutzten Komponenten mehr, einschließlich AMS Managed Active Directory AWS Transit Gateway, und AWS Organizations Verlust der Verwaltung der gemeinsam genutzten Infrastruktur Setzen Sie den Administratorzugriff auf AMS Managed Active Directory zurück und übernehmen Sie die Verwaltung der Shared Services-Komponenten
Berichterstellung Anwendungs- und Core-Konten AMS erfasst keine Daten mehr auf Konto- oder Ressourcenebene für aggregierte Berichte Verlust des Einblicks in betriebliche und geschäftliche Kennzahlen (Umfang von Backup und Patches, Änderungsmanagement und Aktivitäten bei Zwischenfällen) Ersetzen Sie alle erforderlichen aggregierten Datenberichte für alle Konten durch eine eigene Lösung
Das AMS-Kundenbetreuungsteam und der Servicedesk Anwendungs- und Core-Konten Das AMS Account Team (CSDM, CA) und der AMS Operations Service Desk unterstützen die ausgelagerten Konten nicht mehr Verlust der operativen Unterstützung durch Fachwissen in der von AMS entworfenen Landezonenarchitektur für mehrere Konten und verwandten Komponenten Stellen Sie sicher, dass ausreichend Personal vorhanden ist und Sie mit der Kontostruktur und den Ressourcen vertraut sind, um den Betrieb in der Umgebung zu unterstützen

Auf Alternativen zugreifen

Im Folgenden finden Sie alternative Methoden, um auch nach dem Offboarding von AMS-Konten weiterhin Zugriff auf Ihren EC2 Stack zu haben:

Deaktivieren Sie EC2 AMS-Startskripts

Linux-Betriebssysteme

Verwenden Sie den Paketmanager Ihrer Distribution, um das ams-modules Paket zu deinstallieren. Verwenden yum remove ams-modules Sie beispielsweise für Amazon Linux 2.

Windows-Betriebssysteme

Gehen Sie wie folgt vor, um EC2 Startskripts in Windows zu deaktivieren:

  1. Windows Server 2008/2012/2012r2/2016/2019:

    Deaktivieren oder entfernen Sie die geplante Aufgabe Managed Services Startup aus dem Taskplaner. Führen Sie den Get-ScheduledTask -TaskName '*Ec2*' Befehl aus, um geplante Aufgaben aufzulisten.

    Windows Server 2022:

    Entfernen Sie die Aufgabe EC2 Launch v2. Diese Aufgabe wird Initialize-AMSBoot postReady stufenweise in C:\\ Amazon\ EC2 LaunchProgramData\ config\ agent-config.yml auf der Instance ausgeführt. Das Folgende ist ein Auszug aus einem Beispiel: agent-config.yml

    {
	"task": "executeScript",
	"inputs": [
		{
			"frequency": "always",
			"type": "powershell",
			"runAs": "localSystem"
		}
	]
}

  2. (Optional) Entfernen Sie den folgenden Dateiinhalt:

    C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*

PBIS Open/Enterprise (AD-Brücke)

Um festzustellen, ob Sie die PBIS Open oder die PBIS Enterprise (AD Bridge) Edition verwenden, führen Sie den folgenden Befehl in einer verwalteten EC2 Linux-Instanz aus:

yum info | grep pbis

Die folgende Beispielausgabe zeigt PBIS Enterprise (AD Bridge):

Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development

PBIS Öffnen

PBIS Open ist ein veraltetes Produkt, das BeyondTrust nicht mehr unterstützt wird. Weitere Informationen finden Sie in der Dokumentation zu pbis-openBeyondTrust .

AD Bridge (PBIS Enterprise)

Sie können einen der folgenden Schritte ausführen:

  • Erneuern Sie die Lizenzierung und setzen Sie den Betrieb von AD Bridge fort. Kontaktieren Sie uns BeyondTrust , um Lizenzierung und Support zu besprechen.

  • Stellen Sie die Verwendung von AD Bridge ein. Führen Sie den folgenden Shell-Befehl aus, um das PBIS-Enterprise-Paket aus verwalteten Linux-Instanzen zu entfernen. Weitere Informationen finden Sie in der BeyondTrust Dokumentation Eine Domäne verlassen und den AD Bridge-Agent deinstallieren.

    $ sudo /opt/pbis/bin/uninstall.sh purge

Verlassen Sie die von AMS verwaltete Active Directory-Domäne, ohne den PBIS-Agenten zu entfernen

Sie haben die Möglichkeit, das von AMS verwaltete Active Directory zu verlassen, ohne den PBIS-Agenten zu entfernen. Verwenden Sie je nach Betriebssystem eine der folgenden Lösungen:

Linux operating systems

Verwenden Sie PBIS aus dem von AMS verwalteten AD, um den folgenden Shell-Befehl auszuführen, um die Verbindung zu einer EC2 Linux-Instance aufzuheben. Weitere Informationen finden Sie in der Dokumentation zu BeyondTrust pbis-open oder BeyondTrust AD Bridge, je nachdem, welche Version Sie verwenden.

$ sudo /opt/pbis/bin/domainjoin-cli leave

Möglicherweise wird eine Fehlermeldung ähnlich der folgenden angezeigt:

Error: LW_ERROR_KRB5_REALM_CANT_RESOLVE [code 0x0000a3e1]
Cannot resolve network address for KDC in requested realm

Wenn dieser Fehler auftritt, führen Sie die folgenden Befehle aus, um die AD-Anbieterregistrierung zu löschen und die lwsm Dienste neu zu starten:

$ /opt/pbis/bin/regshell dir '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin]'

Verwenden Sie die Verzeichnis-ID-Ausgabe, die Sie mit dem vorherigen Befehl erhalten haben (z. B.A123EXAMPLE.AMAZONAWS.COM), um die folgenden Befehle auszuführen:

$ /opt/pbis/bin/regshell delete_tree \
'[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin\DIRECTORYID]'

$ /etc/pbis/redhat/lwsmd restart

$ /opt/pbis/bin/lwsm restart lwreg
Windows operating systems
# Collect hostname and domain name using:

Test-ComputerSecureChannel -verbose

# Disjoin computer from the domain:

netdom remove hostname /domain:domain name /force
Anmerkung

Stellen Sie sicher, dass Sie die geplante Aufgabe zum Starten von Managed Services deaktivieren oder entfernen, wie unter beschriebenDeaktivieren Sie EC2 AMS-Startskripts.

Trend Micro Deep Security

Verwenden Sie eine der folgenden Optionen, um die Verwendung von Trend Micro Deep Security fortzusetzen oder zu beenden:

Nutzung fortsetzen

  • (Bei Offboarding der gesamten MALZ) Verbinden Sie nach dem Core-Konto die ausgelagerten Anwendungskonten erneut mit dem vorhandenen Trend Micro Deep Security Manager (DSM) und behalten Sie die Lizenzierung im Shared Services-Konto bei. Weitere Informationen finden Sie unter AWS Cloud-Konten hinzufügen und Lizenzinformationen überprüfen.

    1. Melden Sie sich beim Shared Services-Konto an und navigieren Sie zur Secrets Manager Manager-Konsole.

    2. Rufen Sie die Administratoranmeldedaten der DSM-Konsole ab, die im /ams/eps/ Pfad gespeichert sind.

    3. Melden Sie sich unter https://dsm.sentinel.int bei der DSM-Konsole an.

    4. Wählen Sie „Kontoübergreifende Rolle verwenden“ und geben Sie dann die Eingabetaste einarn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role. Ersetzen Sie ACCOUNTID durch die Konto-ID der ausgelagerten Anwendung.

    5. Wählen Sie Weiter aus.

    6. Warten Sie einige Minuten, bis DSM die Kontoermittlung durchgeführt und angezeigt hat, dass die Synchronisierung erfolgreich war.

  • Verbinden Sie externe Anwendungskonten erneut mit einer neuen Trend Micro DSM-Installation. Weitere Informationen finden Sie unter Agents aktivieren und schützen und Agent aktivieren.

  • Verbinden Sie externe Anwendungskonten erneut mit Trend Micro Cloud One. Weitere Informationen finden Sie unter Migration von Deep Security zu Workload Security und Migration von einem lokalen DSM.

Beenden Sie die Nutzung