Olvídese de las cuentas multicuenta de AMS en las zonas de landing zone - Guía de usuario avanzada de AMS
Tareas para el funcionamiento continuo de las cuentas externasCuentas de aplicaciones externasCuentas principales externasCambios en la exclusiónAlternativas de accesoDeshabilite los scripts de EC2 lanzamiento de AMSPBIS Open/Enterprise (puente AD)Trend Micro Deep Security

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Olvídese de las cuentas multicuenta de AMS en las zonas de landing zone

Hay dos tipos de AWS cuentas que puedes eliminar de la zona de aterrizaje multicuenta de AMS Advanced:

  • Cuentas de aplicaciones

  • Cuentas principales

Para eliminar todas las cuentas de tu landing zone multicuenta de AMS, debes cerrar todas las cuentas de la Aplicación antes de cerrar las cuentas principales.

Para asumir y seguir gestionando las cargas de trabajo en las cuentas principales o de aplicación externas, asegúrate de revisar esta documentación con tu equipo de cuentas de AMS. En esta documentación se describen los cambios que AMS realiza durante el proceso externo.

Tareas que deben completarse para continuar con el funcionamiento de las cuentas externas

Las siguientes tareas son necesarias para seguir gestionando las cuentas que has excluido de la zona de aterrizaje multicuenta de AMS:

  • Activa el modo de desarrollador: para obtener más permisos para tus cuentas, activa el modo de desarrollador antes de cerrar las cuentas de la aplicación de AMS. Al activar el modo de desarrollador, puede realizar con mayor facilidad los cambios necesarios para prepararse para la desconexión. No intentes eliminar ni modificar los recursos de la infraestructura de AMS. Si eliminas los recursos de infraestructura de AMS, es posible que AMS no pueda cerrar tu cuenta correctamente. Para obtener información sobre cómo activar el modo de desarrollador, consulteIntroducción al modo AMS Advanced Developer.

    Si no puedes realizar los cambios necesarios para prepararte para la desconexión después de activar el modo de desarrollador, ponte en contacto con el equipo de tu cuenta de AMS para analizar tus requisitos.

  • Elige un método alternativo para acceder a la EC2 pila: una vez que desconectes las cuentas de la aplicación de AMS, no podrás utilizarlas RFCs para acceder a los recursos de la pila. Revisa yCambios en la contratación, a continuación, elige un método de acceso alternativo para conservar el acceso a tus pilas. Para obtener más información, consulte Alternativas de acceso.

Extraiga las cuentas de la aplicación AMS

Para eliminar las cuentas de la Aplicación de tu entorno de landing zone con varias cuentas, sigue los siguientes pasos para cada cuenta:

  1. Compruebe que no haya ninguna cuenta abierta RFCs . Para obtener más información, consulte Crear, clonar, actualizar, buscar y cancelar RFCs.

  2. Compruebe que puede acceder a la dirección de correo electrónico del usuario principal o raíz de la cuenta.

  3. Desde la cuenta de la aplicación, envíe un RFC con la cuenta de la aplicación | Confirme el tipo de cambio de la cuenta de la solicitud (ct-2wlfo2jxj2rkj). En la RFC, especifique la cuenta de la aplicación que desea eliminar.

  4. Desde la cuenta de administración, envíe una RFC con el tipo de cambio de cuenta de administración | Cuenta de aplicación externa (ct-0vdiy51oyrhhm). En la RFC, especifique la cuenta de la aplicación que desea eliminar. Además, indica si deseas eliminar o conservar la pasarela de tránsito adjunta a la landing zone.

  5. Para asegurarse de que se interrumpe la facturación de AMS, notifique a su CSDM que ha cancelado la cuenta.

Tras la desconexión de la cuenta de la Aplicación, se produce lo siguiente:

  • Todos los componentes están disociados de los servicios de AMS, pero los recursos que haya creado permanecen en la cuenta. Puede optar por conservar o cerrar la cuenta externa de AMS.

  • Las cuentas principales y el resto de las cuentas de la Aplicación funcionan normalmente después de cerrar una cuenta de la Aplicación.

  • La facturación de AMS se detiene, pero no se detiene hasta que cierres la AWS cuenta. Para obtener más información, consulta Lo que debes saber antes de cerrar tu cuenta.

  • Si una cuenta está cerrada, estará visible en su organización en el suspended estado durante 90 días. Transcurridos 90 días, la cuenta cerrada se elimina de forma permanente y deja de estar visible en su organización.

  • Una vez cerrada la cuenta, puedes seguir iniciando sesión y presentar una solicitud de asistencia o un contacto Soporte durante 90 días.

  • Transcurridos 90 días, cualquier contenido que permanezca en la cuenta se eliminará permanentemente y los AWS servicios restantes se cancelarán.

P: ¿Puedo usar mis funciones de IAM federadas para seguir accediendo a una cuenta de aplicación que he retirado de mi landing zone multicuenta de AMS?

Sí. Los roles predeterminados AWS Identity and Access Management (IAM) creados por AMS permanecen disponibles en la cuenta después de la desconexión de AMS. Sin embargo, estas funciones y políticas están diseñadas para usarse con la administración de acceso a AMS. Para proporcionar el acceso necesario a sus usuarios, es posible que necesite implementar sus propios recursos de IAM.

P: ¿Cómo obtengo acceso completo a una cuenta de aplicación que he retirado de mi landing zone multicuenta de AMS?

Las cuentas de aplicaciones externas se trasladan a la unidad organizativa (OU) obsoleta de la estructura de cuentas. AWS Organizations Esta medida elimina las restricciones de acceso de SCP que anteriormente bloqueaban el acceso de los usuarios root. Para obtener información sobre cómo restablecer las credenciales de un usuario root, consulte Restablecer una contraseña de usuario root perdida u olvidada.

P: ¿Qué cambios se realizan durante la desactivación de la cuenta de la Aplicación?

Para obtener información sobre las acciones que AMS toma cuando el servicio cierra cuentas, consulte. Cambios en la contratación

P: ¿Puedo cancelar la suscripción de una cuenta de la aplicación sin separarla de la pasarela de transporte?

Sí. Utilice el tipo de cambio de cuenta de administración | Cuenta de aplicación externa (ct-0vdiy51oyrhhm) para enviar la RFC y especifique el parámetro como. DeleteTransitGatewayAttachment False

P: ¿Cuánto tiempo se tarda en cerrar una cuenta de aplicación?

Si utiliza la cuenta de administración | Cuenta de aplicación externa (ct-0vdiy51oyrhhm), cambie de tipo y complete el proceso en 1 hora. RFCs

P: ¿Es obligatorio cerrar la cuenta externa?

No. El cierre de la cuenta tras la salida de AMS no es obligatorio. Durante el proceso de desvinculación, AMS elimina el acceso y la administración de tu AWS cuenta, pero tu cuenta y los recursos de la cuenta permanecen. Es importante tener en cuenta que, tras la salida de AMS, tú eres el único responsable de gestionar y mantener tu AWS cuenta y tus recursos. AMS no se hace responsable de ningún problema, incidente o interrupción del servicio que pueda producirse en tu cuenta una vez finalizado el proceso de exclusión. Para obtener más información, consulta ¿Cómo cierro mi cuenta? AWS .

P: Si presento una solicitud de cierre de cuenta, ¿se eliminan inmediatamente todos los recursos existentes?

No. El cierre de la cuenta no cancela sus recursos. Los recursos de la cuenta se cancelan automáticamente 90 días después de la solicitud de cierre. La facturación de AMS se detiene, pero la facturación de AWS recursos no se detiene hasta que se cierra la cuenta. Para obtener más información, consulta Lo que debes saber antes de cerrar tu cuenta.

P: ¿Puedo programar la desactivación de una cuenta de la Aplicación?

Sí. Puede programarla RFCs para que se ejecute a una hora específica. Sin embargo, debe completar la RFC sobre la cuenta de la solicitud | Confirme la desconexión antes de poder programar la cuenta de administración | La RFC sobre la cuenta de solicitud externa. Para obtener más información, consulte Programación de RFC.

  • R: Parte responsable. La parte responsable de completar la tarea de la lista.

  • R: Parte responsable. La parte que aprueba la tarea completada.

  • C: Parte consultada. Parte cuya opinión se solicita, por lo general como experta en la materia, y con la que existe una comunicación bilateral.

  • I: Parte informada. Una parte a la que se informa sobre el progreso, a menudo solo al finalizar la tarea o el producto final.

Actividad Cliente AWS Managed Services (AMS)
Requisitos previos
Verifica el acceso a la dirección de correo electrónico raíz de cada ID de AWS cuenta que se vaya a eliminar R C
Revisa la documentación de AMS sobre las medidas recomendadas para los clientes y prepara las cuentas para la desvinculación de AMS R C
Si es necesario, envía una RFC para habilitar el modo Desarrollador a fin de preparar las cuentas para la desvinculación de AMS R I
Si es necesario, elige un método alternativo para acceder a la EC2 pila. R I
Desembarque
Envíe RFCs para confirmar y solicitar la desvinculación de las cuentas de la Aplicación R I
Extraiga los componentes de AMS de las cuentas de la aplicación I R
Notifique a AMS CSDM de las cuentas externas para detener la facturación de AMS R I
Tras la salida del embarque
Restablezca la contraseña de la cuenta de usuario root y verifique el acceso root en las cuentas externas R C
Cierre la cuenta o siga las instrucciones de AMS sobre las medidas recomendadas para los clientes que figuran en la documentación de desvinculación de AMS para seguir gestionando las cuentas R C

Extraiga las cuentas principales

Para eliminar las cuentas principales de Landing Zone con varias cuentas, sigue estos pasos:

  1. Compruebe que todas las cuentas de la aplicación en la landing zone hayan sido retiradas de AMS.

  2. Compruebe que no tiene ninguna cuenta abierta RFCs . Para obtener más información, consulte Crear, clonar, actualizar, buscar y cancelar RFCs.

  3. Compruebe que puede acceder a la dirección de correo electrónico del usuario principal o raíz de todas las cuentas principales. Para obtener más información, consulte Cuentas multicuenta de Landing Zone.

  4. Compruebe que puede acceder al número de teléfono del usuario principal o raíz de la cuenta de administración. Utilice la función AWSManagedServicesBillingRole de IAM para actualizar el número de teléfono. Para obtener más información, consulta ¿Cómo actualizo el número de teléfono asociado a mi AWS cuenta? .

  5. Inicia sesión en tu cuenta de gestión de landing zone de AMS y envía una solicitud de servicio de AMS. En la solicitud de servicio, especifica si deseas abandonar toda tu landing zone.

Tras la desconexión de las cuentas principales, ocurre lo siguiente:

  • Todos los componentes están desasociados de los servicios de AMS, pero algunos AWS recursos permanecen en la cuenta. Puede optar por conservar o cerrar las cuentas principales externas de AMS.

  • La facturación de AMS se detiene, pero no se detiene hasta que cierres la AWS cuenta. Para obtener más información, consulta Lo que debes saber antes de cerrar tu cuenta.

  • Si una cuenta está cerrada, estará visible en su organización en el suspended estado durante 90 días. Transcurridos 90 días, la cuenta de miembro cerrada se elimina de forma permanente y deja de estar visible en su organización.

  • Una vez cerrada la cuenta, podrás seguir iniciando sesión y presentar una solicitud de asistencia o un contacto Soporte durante 90 días.

  • Una vez cerrada la cuenta durante 90 días, cualquier contenido que permanezca en la cuenta se eliminará permanentemente y los AWS servicios restantes se cancelarán.

P: ¿Puedo usar mis funciones de IAM federadas para seguir accediendo a las cuentas principales no autorizadas?

Sí. Los roles predeterminados AWS Identity and Access Management (IAM) creados por AMS permanecen disponibles en la cuenta externa. Sin embargo, estas funciones y políticas están diseñadas para usarse con la administración de acceso a AMS. Para proporcionar el acceso necesario a sus usuarios, es posible que necesite implementar sus propios recursos de IAM.

P: ¿Cómo obtengo acceso total a la cuenta MALZ de administración, servicios compartidos, redes u otra cuenta MALZ que no sea de aplicación después de salir de la landing zone multicuenta de AMS?

Tras la desconexión, siga las instrucciones de Restablecer una contraseña de usuario raíz perdida u olvidada para utilizar las credenciales de usuario principal (raíz) para acceder a las cuentas principales distintas de la cuenta de administración. A diferencia de otros tipos de cuentas, la cuenta de administración conserva un dispositivo de autenticación multifactor (MFA) inaccesible que está asociado al usuario raíz para evitar su uso. Para recuperar el acceso root, debe seguir el proceso de recuperación del dispositivo MFA perdido.

P: ¿Qué cambios se realizan durante la desconexión de la cuenta principal?

Para obtener información sobre las acciones que AMS toma cuando el servicio cierra cuentas, consulte. Cambios en la contratación

P: ¿Cuánto tiempo se tarda en cerrar la cuenta principal?

El proceso de cierre de la cuenta principal suele tardar hasta 30 días en completarse. Sin embargo, para asegurarte de que todos los pasos necesarios se hayan completado correctamente, debes iniciar la solicitud de exclusión al menos 7 días antes de que comience la exclusión. Para facilitar la transición, planifique con antelación y envíe su solicitud de exclusión con antelación.

P: ¿Cómo puedo gestionar los componentes compartidos tras la desvinculación de AMS?

El Active Directory gestionado por AMS y otros componentes de la infraestructura de servicios compartidos están diseñados para que los operadores de AMS puedan acceder a ellos. Es posible que deba actualizar los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2), la política de control de AWS Organizations servicios (SCP) o realizar otros cambios para conservar el acceso total a estos componentes.

P: ¿Puedo cerrar las cuentas principales no registradas?

De forma predeterminada, las cuentas de aplicación dependen en varias ocasiones de las cuentas principales de MALZ, por ejemplo, la AWS Organizations membresía, la conectividad a la red de las pasarelas de tránsito y la resolución de DNS a través de AMS Managed Active Directory. Una vez resueltas estas dependencias, puedes dar de baja y cerrar la cuenta Core que ya no está conectada. Para obtener más información, consulte Cuentas multicuenta de Landing Zone.

  • R: Parte responsable. La parte responsable de completar la tarea de la lista.

  • R: Parte responsable. La parte que aprueba la tarea completada.

  • C: Parte consultada. Parte cuya opinión se solicita, por lo general como experta en la materia, y con la que existe una comunicación bilateral.

  • I: Parte informada. Una parte a la que se informa sobre el progreso, a menudo solo al finalizar la tarea o el producto final.

Actividad Cliente AWS Managed Services (AMS)
Requisitos previos
Compruebe el acceso a la dirección de correo electrónico raíz de cada ID de cuenta de AWS que se vaya a eliminar R C
Verifique el acceso al número de teléfono del usuario raíz de la cuenta de administración y actualícelo R C
Revisa la documentación de AMS sobre las medidas recomendadas para los clientes y prepara las cuentas para dejar de usar AMS R C
Desembarque
Presentar una solicitud de servicio para solicitar el desembarque de la zona de aterrizaje R I
Extraiga los componentes de AMS de las cuentas principales I R
Tras la salida del embarque
Restablezca la contraseña de la cuenta de usuario root y verifique el acceso root en las cuentas externas R C
Cierre las cuentas o siga las instrucciones de AMS sobre las medidas recomendadas para los clientes que figuran en la documentación de desvinculación de AMS para seguir gestionando las cuentas R C

Cambios en la contratación

En la siguiente tabla se describen las medidas que AMS toma para la desconexión de zonas de landing zone con varias cuentas, los posibles impactos y las acciones recomendadas.

Componente Account type (Tipo de cuenta) Medidas adoptadas para desembarcar Posibles impactos Acción recomendada para el cliente
Administración de accesos Cuentas de aplicaciones

Tras la desconexión, ya no se puede enviar el acceso a las pilas con un acceso limitado en el tiempo RFCs para just-in-time acceder a las pilas a través de los EC2 hosts bastiones de AMS

AMS ya no administra los componentes relacionados con el acceso en ninguna pila de EC2 recursos existente (agente abierto de PBIS, scripts de unión de dominios)

No puede usar los bastiones de AMS a través de RFS para acceder a las instancias EC2

EC2 las instancias lanzadas desde un servidor no proporcionado por AMS AMIs no están unidas al dominio de Active Directory administrado

Si no se eliminan, los scripts de inicio de AMS en las pilas de recursos existentes pueden producir errores debido a la falta de dependencias de AMS e impedir que se vuelvan a unir a un dominio diferente

Utilice métodos alternativos para acceder a la EC2 instancia (consulte) Alternativas de acceso

Elimine los scripts de lanzamiento de AMS de las pilas de EC2 recursos existentes (consulteDeshabilite los scripts de EC2 inicio de AMS)

Administración de acceso (continuación) Cuentas principales Si migraste de PBIS Open a PBIS Enterprise (AD Bridge), AMS ya no renovará las licencias tras la desvinculación de la cuenta principal Si se permite que la licencia de PBIS Enterprise caduque, las credenciales de Active Directory no son válidas para las pilas de instancias existentes basadas en Linux EC2 Si migró a PBIS Enterprise (AD Bridge), decida si desea mantener las licencias o retirarlas (consulte) PBIS Open/Enterprise (AD Bridge)
Registro, supervisión y administración Incident/Event Cuentas principales y de aplicaciones

Alertas del monitoreo de referencia en AMSSe eliminan los componentes de AMS que se van a implementar

CloudWatch Las alarmas de Amazon desplegadas actualmente permanecen, pero ya no crean incidentes de AMS

AWS Config Se eliminan las autorizaciones de agregación de AMS y de la cuenta de seguridad MALZ Core

AWS Config las reglas permanecen implementadas y Amazon GuardDuty permanece habilitada, pero ya no crea incidentes de AMS

Los recursos recién creados no tienen activadas las alarmas ni la supervisión de referencia de AMS

Las métricas de infraestructura, las alarmas y los eventos de seguridad ya no generan incidentes de AMS

AWS Config ya no está agregado en una cuenta central

Defina, capture y analice las métricas de las operaciones para ver los eventos de carga de trabajo y tomar las medidas adecuadas.

Implemente cualquier flujo de trabajo de alertas necesario para seguir aplicando la supervisión operativa y las alarmas necesarias en los nuevos recursos y para recibir alertas de AWS Config seguridad de Amazon GuardDuty.

Administración de la continuidad (Backup and Restore) Cuentas de aplicaciones

AMS ya no supervisa los trabajos de copia de seguridad ni realiza solicitudes de copia de seguridad y restauración

Las bóvedas de respaldo predeterminadas de AMS, la clave de cifrado de copias de seguridad y la función de copia de seguridad permanecen

Es posible que no se noten los errores en la operación de Backup Supervise y revise las configuraciones del plan de respaldo
Administración de parches Cuentas principales y de aplicaciones

AMS ya no supervisa las operaciones de aplicación de parches para garantizar su correcta ejecución ni realiza los parches de forma manual

AMS ya no actualiza los componentes de la infraestructura del AMS

Se conservan las líneas base de los parches proporcionados por AMS

Los manuales de automatización de AWS Systems Manager parches proporcionados por AMS no se comparten y ya no están disponibles para su uso

Es posible que no se noten los errores en la operación de parcheo

Las configuraciones de parches existentes que dependen de los manuales de ejecución de Systems Manager Automation proporcionados por AMS deben reconfigurarse para que continúen sin interrupciones.

Revise y reconfigure las configuraciones de los parches según sea necesario
Administración de red Cuentas de aplicaciones Si se especifica, se elimina el archivo adjunto a la pasarela de tránsito de la cuenta de la aplicación externa La cuenta de aplicación externa ya no puede usar una pasarela de tránsito para acceder a servicios compartidos, como las cuentas de Active Directory administradas u otras cuentas de aplicaciones Especifique si desea DeleteTransitGatewayAttachment False conservar la conectividad de la pasarela de tránsito
Administración de la seguridad Cuentas de aplicaciones

La cuenta está separada de la consola central de Trend Micro DSM. Además, los agentes de puntos finales ya no envían alertas a través del proceso de incidentes de AMS

Los agentes de Trend Micro permanecen instalados, pero AMS ya no los gestiona ni actualiza

AMS ya no mantiene ni actualiza las personalizaciones de AMI que implementan el agente de Trend Micro.

EC2 es posible que las detecciones de malware en los puntos finales de la instancia no se noten

El microagente de Trend no se implementa en EC2 las instancias que se lanzan desde un dispositivo que no esté provisto por AMS AMIs

Considere las opciones para mantener o interrumpir Trend Micro (consulteTrend Micro Deep Security)
Gestión de la seguridad (continuación) Cuentas principales

La infraestructura DSM de Trend Micro permanece en las cuentas de Shared Services, pero AMS ya no la mantiene ni actualiza

Trend Micro DSM ya no reenvía alertas a través del proceso de incidentes de AMS

EC2 por ejemplo, las detecciones de malware en terminales pueden pasar desapercibidas

EC2 la protección de los puntos finales de una instancia podría verse afectada si no se mantiene la infraestructura (actualizaciones de definiciones, licencias, etc.)

Decida si desea continuar o interrumpir Trend Micro (consulteTrend Micro Deep Security)
Administración de cambios Cuentas principales y de aplicaciones

Se han eliminado la consola RFC y la API de AMS

Las políticas de control de servicios personalizadas de AMS (SCPs) que contienen restricciones de acceso a nivel de cuenta se eliminan al cerrar la cuenta de la aplicación y se eliminan durante la desconexión de la cuenta principal

Debe usar una AWS API nativa para crear nuevos recursos, cambiar los recursos existentes o actualizar las pilas existentes AWS CloudFormation

Las restricciones de acceso ya no se imponen a nivel de cuenta a través de los AMS proporcionados SCPs

Asegúrese de que los roles de usuario proporcionen un acceso suficiente para usar los servicios AWS

Cree SCPs para proporcionar restricciones de permisos a nivel de cuenta

Imágenes y automatizaciones del sistema operativo AMS para la gestión de servicios Cuentas principales y de aplicaciones

AMS ya no admite las personalizaciones y los scripts de lanzamiento incluidos en los AMS proporcionados EC2 AMIs

Los AMS proporcionados EC2 AMIs permanecen disponibles en sus cuentas externas

Los manuales de automatización de Systems Manager proporcionados por AMS no se comparten y ya no están disponibles para su uso.

Tras la desconexión, AMS AMIs lanzó la señal AWS CloudFormation send cfn-signal FAILURE porque no dependía de los componentes de AMS

Los procesos operativos que dependen de los manuales de automatización de Systems Manager proporcionados por AMS pueden fallar

Revise y actualice cualquier proceso operativo o de construcción que dependa de los manuales proporcionados por AMS AMIs o de los manuales de automatización de Systems Manager
Infraestructura de servicios compartidos Cuentas principales Se ha eliminado el acceso a AMS y AMS ya no administra los componentes compartidos, incluido el Active Directory gestionado por AMS AWS Transit Gateway, y AWS Organizations Pérdida de la administración de la infraestructura compartida Restablezca el acceso de administrador al Active Directory gestionado por AMS y asuma la gestión de los componentes de los servicios compartidos
Informes Cuentas principales y de aplicaciones AMS ya no recopila detalles a nivel de cuentas o recursos para generar informes agregados Pérdida de información sobre las métricas operativas y empresariales (cobertura de copias de seguridad y parches, gestión de cambios y actividad de incidentes) Sustituya todos los informes de datos agregados necesarios en todas las cuentas por su propia solución
Equipo de cuentas y servicio de asistencia de AMS Cuentas principales y de aplicación El equipo de cuentas de AMS (CSDM, CA) y el servicio de operaciones de AMS ya no admiten las cuentas externas Pérdida de soporte operativo con experiencia en la arquitectura de zona de aterrizaje multicuenta diseñada por AMS y componentes relacionados Asegúrese de que haya suficiente personal y esté familiarizado con la estructura y los recursos de la cuenta para respaldar las operaciones en el entorno

Alternativas de acceso

Los siguientes son métodos alternativos para conservar el acceso a tu EC2 pila después de cerrar las cuentas de AMS:

Deshabilite los scripts de EC2 inicio de AMS

Sistemas operativos Linux

Usa el administrador de paquetes de tu distribución para desinstalar el ams-modules paquete. Por ejemplo, para el uso de Amazon Linux 2yum remove ams-modules.

Sistemas operativos Windows

Para deshabilitar los scripts de EC2 inicio en Windows, siga estos pasos:

  1. Windows Server 2008/2012/2012r2/2016/2019:

    Desactive o elimine la tarea programada de inicio de Managed Services del Programador de tareas. Para ver una lista de las tareas programadas, ejecute el Get-ScheduledTask -TaskName '*Ec2*' comando.

    Windows Server 2022:

    Elimine la tarea EC2 Launch v2. Esta tarea se ejecuta por postReady etapas Initialize-AMSBoot en C:\\ AmazonProgramData\ EC2 Launch\ config\ agent-config.yml de la instancia. El siguiente es un fragmento de un ejemplo: agent-config.yml

    {
	"task": "executeScript",
	"inputs": [
		{
			"frequency": "always",
			"type": "powershell",
			"runAs": "localSystem"
		}
	]
}

  2. (Opcional) Elimine el siguiente contenido del archivo:

    C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*

PBIS Open/Enterprise (AD Bridge)

Para determinar si utilizas la edición PBIS Open o PBIS Enterprise (AD Bridge), ejecuta el siguiente comando en una instancia gestionada por Linux EC2 :

yum info | grep pbis

El siguiente es un ejemplo de resultado que muestra PBIS Enterprise (AD Bridge):

Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development

PBIS abierto

PBIS Open es un producto obsoleto que BeyondTrust ya no es compatible. Para obtener más información, consulte la documentación de BeyondTrust pbis-open.

AD Bridge (PBIS Enterprise)

Puede elegir una de las opciones siguientes:

  • Renueve las licencias y continúe operando AD Bridge. Póngase en contacto con nosotros BeyondTrust para hablar sobre las licencias y el soporte.

  • Suspenda el uso de AD Bridge. Ejecute el siguiente comando de Shell para eliminar el paquete PBIS-Enterprise de las instancias administradas de Linux. Para obtener más información, consulta la BeyondTrust documentación Dejar un dominio y desinstalar el agente AD Bridge.

    $ sudo /opt/pbis/bin/uninstall.sh purge

Deje el dominio de Active Directory administrado por AMS sin eliminar el agente PBIS

Tiene la opción de abandonar el Active Directory administrado por AMS sin eliminar el agente de PBIS. Utilice una de las siguientes soluciones, según el sistema operativo:

Linux operating systems

Usa el PBIS del AD administrado por AMS para ejecutar el siguiente comando de shell para desunir una instancia de Linux. EC2 Para obtener más información, consulta la documentación de BeyondTrust pbis-open o BeyondTrust AD Bridge, según la versión que utilices.

$ sudo /opt/pbis/bin/domainjoin-cli leave

Es posible que veas un mensaje de error similar al siguiente:

Error: LW_ERROR_KRB5_REALM_CANT_RESOLVE [code 0x0000a3e1]
Cannot resolve network address for KDC in requested realm

Si se produce este error, ejecuta los siguientes comandos para eliminar el registro del proveedor de AD y reiniciar lwsm los servicios:

$ /opt/pbis/bin/regshell dir '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin]'

Usa el resultado del ID de directorio que recibiste del comando anterior (por ejemplo,A123EXAMPLE.AMAZONAWS.COM) para ejecutar los siguientes comandos:

$ /opt/pbis/bin/regshell delete_tree \
'[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin\DIRECTORYID]'

$ /etc/pbis/redhat/lwsmd restart

$ /opt/pbis/bin/lwsm restart lwreg
Windows operating systems
# Collect hostname and domain name using:

Test-ComputerSecureChannel -verbose

# Disjoin computer from the domain:

netdom remove hostname /domain:domain name /force
nota

Asegúrese de deshabilitar o eliminar la tarea programada de inicio de Managed Services como se menciona enDeshabilite los scripts de EC2 inicio de AMS.

Trend Micro Deep Security

Utilice una de las siguientes opciones para continuar o interrumpir el uso de Trend Micro Deep Security:

Continuar con el uso
Suspenda su uso

  • Desinstale los agentes de Trend Micro Deep Security de las cuentas de aplicaciones externas. Para obtener más información, consulte Desinstalar Deep Security.