Tâches relatives à la continuité du fonctionnement des comptes externes Comptes d'applications externes Comptes Offboard Core Changements liés à l'offboarding Alternatives d'accès Désactiver les scripts de EC2 lancement d'AMS PBIS Open/Enterprise (pont AD)Trend Micro Deep Security

Déconnectez-vous des comptes de zone d'atterrissage multi-comptes AMS

Il existe deux types de AWS comptes que vous pouvez déconnecter de la zone de landing multicomptes AMS Advanced :

Comptes d'applications
Comptes principaux

Pour déconnecter tous les comptes de votre zone de landing multi-comptes AMS, vous devez déconnecter tous les comptes de l'application avant de quitter les comptes Core.

Pour prendre en charge et continuer à exploiter les charges de travail dans des comptes Application ou Core externes, assurez-vous de consulter cette documentation avec l'équipe de votre compte AMS. Cette documentation décrit les modifications effectuées par AMS au cours du processus de déconnexion.

Tâches à accomplir pour assurer le fonctionnement continu des comptes externes

Les tâches suivantes sont requises pour continuer à exploiter les comptes que vous avez retirés de la zone de landing zone multi-comptes AMS :

Activez le mode développeur : pour obtenir davantage d'autorisations sur vos comptes, activez le mode développeur avant de déconnecter les comptes d'applications d'AMS. Lorsque vous activez le mode développeur, vous pouvez plus facilement apporter les modifications nécessaires pour vous préparer à l'offboarding. N'essayez pas de supprimer ou de modifier les ressources de l'infrastructure AMS. Si vous supprimez les ressources de l'infrastructure AMS, il se peut qu'AMS ne soit pas en mesure de déconnecter correctement votre compte. Pour plus d'informations sur la façon d'activer le mode développeur, consultezCommencer à utiliser le mode développeur avancé d'AMS.

Si vous ne parvenez pas à effectuer les modifications nécessaires pour préparer le désenclavement après avoir activé le mode développeur, contactez l'équipe de votre compte AMS pour discuter de vos besoins.
Choisissez une autre méthode d'accès à la EC2 pile : une fois que vous avez déconnecté les comptes d'applications d'AMS, vous ne pouvez plus l'utiliser RFCs pour accéder aux ressources de votre pile. Passez en revueChangements liés à l'offboarding, puis choisissez une autre méthode d'accès afin de conserver l'accès à vos piles. Pour de plus amples informations, veuillez consulter Alternatives d'accès.

Comptes d'application AMS externes

Pour déconnecter des comptes d'application de votre environnement de zone de landing zone multi-comptes, effectuez les étapes suivantes pour chaque compte :

Vérifiez qu'il n'y a pas d'ouverture RFCs dans le compte. Pour de plus amples informations, veuillez consulter Création, clonage, mise à jour, recherche et annulation RFCs.
Vérifiez que vous pouvez accéder à l'adresse e-mail de l'utilisateur principal ou root du compte.
À partir du compte d'application, soumettez une RFC avec le type de changement Compte d'application | Confirmer le débarquement (ct-2wlfo2jxj2rkj). Dans le RFC, spécifiez le compte d'application à déconnecter.
À partir du compte de gestion, soumettez une RFC avec le type de modification Compte de gestion | Compte d'application hors bord (ct-0vdiy51oyrhhm). Dans le RFC, spécifiez le compte d'application à déconnecter. Indiquez également si vous souhaitez supprimer ou conserver le rattachement de la passerelle de transit à la zone de landing zone.
Pour vous assurer que la facturation AMS est arrêtée, informez votre CSDM que vous avez retiré le compte.

Les événements suivants se produisent une fois que le compte de l'application est déconnecté :

Tous les composants sont dissociés des services AMS, mais les ressources que vous avez créées restent dans le compte. Vous pouvez choisir de conserver ou de fermer le compte AMS Offboarded.
Les comptes principaux et les autres comptes d'application restants fonctionnent normalement une fois qu'un compte d'application est déconnecté.
La facturation AMS est arrêtée, mais la AWS facturation ne l'est pas tant que vous n'avez pas fermé le compte. Pour plus d'informations, consultez ce que vous devez savoir avant de fermer votre compte.
Si un compte est fermé, il est visible dans votre organisation dans l'suspendedÉtat pendant 90 jours. Après 90 jours, le compte fermé est définitivement supprimé et n'est plus visible dans votre organisation.
Une fois le compte fermé, vous pouvez toujours vous connecter et déposer une demande d'assistance ou un contact Support pendant 90 jours.
Après 90 jours, tout contenu restant sur le compte est définitivement supprimé et les AWS services restants sont résiliés.

Q : Puis-je utiliser mes rôles IAM fédérés pour continuer à accéder à un compte d'application que j'ai quitté depuis ma zone de landing zone multi-comptes AMS ?: Oui. Les rôles par défaut créés par AMS AWS Identity and Access Management (IAM) restent disponibles dans le compte après le désenclavement d'AMS. Toutefois, ces rôles et politiques sont conçus pour être utilisés avec la gestion des accès AMS. Pour fournir l'accès nécessaire à vos utilisateurs, vous devrez peut-être déployer vos propres ressources IAM.
Q : Comment puis-je obtenir un accès complet à un compte d'application que j'ai quitté depuis ma zone de landing zone multi-comptes AMS ?: Les comptes d'applications externes sont déplacés vers l'unité organisationnelle (UO) obsolète de la structure du compte. AWS Organizations Cette décision lève les restrictions d'accès au SCP qui bloquaient auparavant l'accès des utilisateurs root. Pour plus d'informations sur la réinitialisation des informations d'identification de l'utilisateur root, voir Réinitialisation d'un mot de passe utilisateur root perdu ou oublié.
Q : Quelles sont les modifications apportées lors de la désintégration du compte de l'application ?: Pour plus d'informations sur les actions entreprises par AMS lorsque le service déconnecte des comptes, consultezChangements liés à l'offboarding.
Q : Puis-je déconnecter un compte d'application sans le détacher de la passerelle de transit ?: Oui. Utilisez le type de changement Compte de gestion | Compte d'application hors bord (ct-0vdiy51oyrhhm) pour soumettre la RFC et spécifiez le paramètre sous la forme. DeleteTransitGatewayAttachment False
Q : Combien de temps faut-il pour déconnecter un compte d'application ?: Lorsque vous utilisez le changement de type Compte de gestion | Compte d'application hors bord (ct-0vdiy51oyrhhm), effectuez le changement dans un délai d'une heure. RFCs
Q : Est-il obligatoire de fermer le compte externe ?: Non La fermeture du compte après le désenclavement d'AMS n'est pas obligatoire. Au cours du processus d'offboarding, AMS supprime l'accès à votre AWS compte et la gestion de celui-ci, mais votre compte et les ressources qu'il contient sont conservés. Il est important de noter qu'après avoir quitté AMS, vous êtes seul responsable de la gestion et de la maintenance de votre AWS compte et de vos ressources. AMS n'est pas responsable des problèmes, incidents ou interruptions de service susceptibles de survenir sur votre compte une fois le processus d'offboarding terminé. Pour plus d'informations, consultez l'article Comment fermer mon AWS compte ? .
Q : Si je soumets une demande de fermeture de compte, toutes les ressources existantes sont-elles supprimées immédiatement ?: Non La fermeture du compte ne met pas fin à vos ressources. Les ressources du compte sont automatiquement supprimées 90 jours après la demande de fermeture. La facturation AMS s'arrête, mais la facturation AWS des ressources ne s'arrête pas tant que vous n'avez pas fermé le compte. Pour plus d'informations, consultez ce que vous devez savoir avant de fermer votre compte.
Q : Puis-je planifier le désenclavement d'un compte d'application ?: Oui. Vous pouvez le programmer RFCs pour qu'il s'exécute à une heure précise. Cependant, le RFC Compte d'application | Confirmer le déchargement doit être terminé avant que vous puissiez planifier le compte de gestion | Compte d'application externe. Pour plus d'informations, consultez la section Planification RFC.

R : Partie responsable. Partie responsable de l'exécution de la tâche répertoriée.
R : Partie responsable. Partie qui approuve la tâche terminée.
C : Partie consultée. Partie dont les opinions sont sollicitées, généralement en tant qu'experts en la matière, et avec laquelle il existe une communication bilatérale.
I : Partie informée. Une partie informée des progrès réalisés, souvent uniquement à l'issue de la tâche ou du livrable.

Activité	Client	AWS Managed Services (AMS)
Prérequis
Vérifiez l'accès à l'adresse e-mail racine pour chaque identifiant de AWS compte qui sera déconnecté	R	C
Consultez la documentation d'AMS sur les actions recommandées aux clients et préparez les comptes pour le désenclavement d'AMS	R	C
Si nécessaire, soumettez une RFC pour activer le mode développeur afin de préparer les comptes pour le déchargement d'AMS	R	I
Si nécessaire, choisissez une autre méthode d'accès à la EC2 pile.	R	I
Débarquement
Soumettre RFCs pour confirmer et demander le désenclavement des comptes de l'application	R	I
Déconnectez les composants AMS des comptes d'applications	I	R
Informez AMS CSDM de la présence de comptes hors bord pour arrêter la facturation d'AMS	R	I
Après le décollage
Réinitialisez le mot de passe du compte utilisateur root et vérifiez l'accès root dans les comptes externes	R	C
Fermez le compte ou suivez les instructions d'AMS sur les actions recommandées aux clients dans la documentation de désenclavement d'AMS pour continuer à gérer les comptes	R	C

Comptes Offboard Core

Pour déconnecter les comptes multi-comptes de la zone de landing zone Core, procédez comme suit :

Vérifiez que tous les comptes d'application de la zone de landing zone ont été retirés d'AMS.
Vérifiez que vous n'avez aucun compte ouvert RFCs . Pour de plus amples informations, veuillez consulter Création, clonage, mise à jour, recherche et annulation RFCs.
Vérifiez que vous pouvez accéder à l'adresse e-mail de l'utilisateur principal ou root pour tous les comptes Core. Pour de plus amples informations, veuillez consulter Comptes multi-comptes Landing Zone.
Vérifiez que vous pouvez accéder au numéro de téléphone de l'utilisateur principal ou root du compte de gestion. Utilisez le rôle AWSManagedServicesBillingRole IAM pour mettre à jour le numéro de téléphone. Pour plus d'informations, consultez Comment mettre à jour le numéro de téléphone associé à mon AWS compte ? .
Connectez-vous à votre compte de gestion de zone d'atterrissage AMS et soumettez une demande de service AMS. Dans la demande de service, indiquez que vous souhaitez démonter l'intégralité de votre zone d'atterrissage.

Les événements suivants se produisent une fois que les comptes Core sont déconnectés :

Tous les composants sont dissociés des services AMS, mais certaines AWS ressources restent dans le compte. Vous pouvez choisir de conserver ou de fermer les comptes Core déconnectés d'AMS.
La facturation AMS est arrêtée, mais la AWS facturation ne l'est pas tant que vous n'avez pas fermé le compte. Pour plus d'informations, consultez ce que vous devez savoir avant de fermer votre compte.
Si un compte est fermé, il est visible dans votre organisation dans l'suspendedÉtat pendant 90 jours. Après 90 jours, le compte de membre fermé est définitivement supprimé et n'est plus visible dans votre organisation.
Une fois le compte fermé, vous pouvez toujours vous connecter et déposer une demande d'assistance ou un contact Support pendant 90 jours.
Après la fermeture du compte pendant 90 jours, tout contenu restant sur le compte est définitivement supprimé et les AWS services restants sont résiliés.

Q : Puis-je utiliser mes rôles IAM fédérés pour continuer à accéder aux comptes Core externes ?: Oui. Les rôles par défaut AWS Identity and Access Management (IAM) créés par AMS restent disponibles dans le compte déconnecté. Toutefois, ces rôles et politiques sont conçus pour être utilisés avec la gestion des accès AMS. Pour fournir l'accès nécessaire à vos utilisateurs, vous devrez peut-être déployer vos propres ressources IAM.
Q : Comment puis-je obtenir un accès complet au compte MALZ de gestion, de services partagés, de mise en réseau ou à tout autre compte MALZ non lié à l'application après avoir quitté la zone de landing zone multi-comptes AMS ?: Après le désenclavement, suivez les instructions de la section Réinitialisation d'un mot de passe utilisateur root perdu ou oublié pour utiliser les informations d'identification de l'utilisateur principal (root) afin d'accéder aux comptes principaux autres que le compte de gestion. Contrairement aux autres types de comptes, le compte de gestion conserve un dispositif d'authentification multifactorielle (MFA) inaccessible associé à l'utilisateur root pour empêcher toute utilisation. Pour retrouver l'accès root, vous devez suivre le processus de récupération du périphérique MFA perdu.
Q : Quelles sont les modifications apportées lors de la désintégration du compte Core ?: Pour plus d'informations sur les actions entreprises par AMS lorsque le service déconnecte des comptes, consultezChangements liés à l'offboarding.
Q : Combien de temps prend le désenregistrement du compte Core ?: Le processus de désintégration du compte Core prend généralement jusqu'à 30 jours. Toutefois, pour vous assurer que toutes les étapes requises sont correctement effectuées, vous devez lancer la demande de déchargement au moins 7 jours avant le début de l'offboarding. Pour faciliter la transition, planifiez à l'avance et soumettez votre demande de déchargement à l'avance.
Q : Comment gérer les composants partagés après le désenclavement d'AMS ?: AMS Managed Active Directory et les autres composants de l'infrastructure de services partagés sont conçus pour l'accès des opérateurs AMS. Vous devrez peut-être mettre à jour les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2), la politique de contrôle des AWS Organizations services (SCP) ou apporter d'autres modifications pour conserver un accès complet à ces composants.
Q : Puis-je fermer des comptes Core non intégrés ?: Par défaut, les comptes d'application ont de multiples dépendances par rapport aux comptes MALZ Core, telles que l' AWS Organizations adhésion, la connectivité au réseau de passerelles de transit et la résolution DNS via AMS Managed Active Directory. Une fois ces dépendances résolues, vous pouvez mettre hors service et fermer le compte Core déconnecté. Pour de plus amples informations, veuillez consulter Comptes multi-comptes Landing Zone.

R : Partie responsable. Partie responsable de l'exécution de la tâche répertoriée.
R : Partie responsable. Partie qui approuve la tâche terminée.
C : Partie consultée. Partie dont les opinions sont sollicitées, généralement en tant qu'experts en la matière, et avec laquelle il existe une communication bilatérale.
I : Partie informée. Une partie informée des progrès réalisés, souvent uniquement à l'issue de la tâche ou du livrable.

Activité	Client	AWS Managed Services (AMS)
Prérequis
Vérifiez l'accès à l'adresse e-mail racine pour chaque identifiant de compte AWS qui sera déconnecté	R	C
Vérifier l'accès au compte de gestion et mettre à jour le numéro de téléphone de l'utilisateur root	R	C
Consultez la documentation d'AMS sur les actions recommandées aux clients et préparez les comptes pour le désenclavement d'AMS	R	C
Débarquement
Soumettre une demande de service pour demander le débarquement de la zone d'atterrissage	R	I
Déconnectez les composants AMS des comptes principaux	I	R
Après le décollage
Réinitialisez le mot de passe du compte utilisateur root et vérifiez l'accès root dans les comptes externes	R	C
Fermez les comptes ou suivez les instructions d'AMS sur les actions recommandées aux clients dans la documentation de désenclavement d'AMS pour continuer à gérer les comptes	R	C

Changements liés à l'offboarding

Le tableau suivant décrit les mesures prises par AMS pour le déchargement de plusieurs comptes dans une zone d'atterrissage, les impacts potentiels et les mesures recommandées.

Composant	Account type (Type de compte)	Mesures prises pour décoller	Impacts potentiels	Action recommandée par le client
Gestion de l'accès	Comptes d'applications	Après le déchargement, l'accès à la pile RFCs pour just-in-time un accès limité dans le temps ne peut plus être soumis aux EC2 piles d'accès via les hôtes AMS Bastion AMS ne gère plus les composants liés à l'accès sur les piles de EC2 ressources existantes (agent PBIS Open, scripts de jointure de domaine)	Impossible d'utiliser les bastions AMS via RFS pour accéder aux instances EC2 EC2 les instances lancées à partir d'une instance non fournie par AMS AMIs ne sont pas jointes au domaine Managed Active Directory S'ils ne sont pas supprimés, les scripts de lancement AMS présents dans les piles de ressources existantes peuvent générer des erreurs en raison de dépendances AMS manquantes et empêcher de rejoindre un autre domaine	Utiliser d'autres méthodes pour accéder à l' EC2 instance (voirAlternatives d'accès) Supprimer les scripts de lancement AMS des piles de EC2 ressources existantes (voirDésactiver les scripts de EC2 lancement d'AMS)
Gestion des accès (suite)	Comptes principaux	Si vous avez migré de PBIS Open vers PBIS Enterprise (AD Bridge), AMS ne renouvelle plus la licence après avoir quitté le compte principal	Si la licence PBIS Enterprise est autorisée à expirer, les informations d'identification Active Directory ne sont pas valides pour les piles d'instances basées sur Linux EC2 existantes	Si vous avez migré vers PBIS Enterprise (AD Bridge), décidez de conserver les licences ou de les mettre hors service (voir) PBIS Open/Enterprise (pont AD)
Journalisation, surveillance, Incident/Event gestion	Comptes d'application et de base	Les composants AMS à déployer Alertes issues de la surveillance de base dans AMS sont supprimés Les CloudWatch alarmes Amazon déployées existantes sont conservées mais ne créent plus d'incidents AMS AWS Config les autorisations d'agrégation d'AMS et du compte de sécurité MALZ Core sont supprimées AWS Config les règles restent déployées et Amazon GuardDuty reste activé, mais ne crée plus d'incidents AMS	Les ressources nouvellement créées ne sont pas soumises à une surveillance de base AMS ni à des alarmes Les alarmes métriques d'infrastructure et les événements de sécurité ne génèrent plus d'incidents AMS AWS Config n'est plus agrégé dans un compte central	Définissez, capturez et analysez les métriques opérationnelles pour visualiser les événements liés à la charge de travail et prendre les mesures appropriées. Mettez en œuvre tout flux d'alerte requis pour continuer à appliquer la surveillance opérationnelle et les alarmes requises aux nouvelles ressources et pour recevoir des alertes de sécurité de la part d'Amazon AWS Config et d'Amazon GuardDuty.
Gestion de la continuité (Backup and Restore)	Comptes d'applications	AMS ne surveille plus les tâches de sauvegarde ni n'exécute les demandes de sauvegarde et de restauration Les coffres-forts de sauvegarde par défaut, la clé de chiffrement de sauvegarde et le rôle de sauvegarde d'AMS restent	Les échecs des opérations de sauvegarde peuvent ne pas être remarqués	Surveillez et examinez les configurations du plan de sauvegarde
Gestion des correctifs	Comptes d'application et de base	AMS ne surveille plus les opérations de correction pour garantir leur bonne exécution ou n'effectue plus de correctifs manuels. AMS ne met plus à jour les composants de l'infrastructure AMS Les lignes de base des correctifs fournies par AMS sont conservées Les runbooks d'automatisation des AWS Systems Manager correctifs fournis par AMS ne sont pas partagés et ne peuvent plus être utilisés	Les échecs des opérations de correction peuvent ne pas être remarqués Les configurations de correctifs existantes qui dépendent des runbooks Systems Manager Automation fournis par AMS doivent être reconfigurées pour continuer sans interruption.	Passez en revue et reconfigurez les configurations d'application des correctifs selon les besoins
Gestion du réseau	Comptes d'applications	Si cela est spécifié, la pièce jointe à la passerelle de transit dans le compte d'application déconnecté est supprimée.	Le compte d'application externe ne peut plus utiliser de passerelle de transit pour accéder à des services partagés, tels que Managed Active Directory ou d'autres comptes d'application	Spécifiez `False` de `DeleteTransitGatewayAttachment` manière à conserver la connectivité de la passerelle de transit
Gestion de la sécurité	Comptes d'applications	Le compte est détaché de la console centrale Trend Micro DSM. De plus, les agents des terminaux ne transmettent plus les alertes via le processus d'incident AMS Les agents Trend Micro restent installés mais ne sont plus gérés ni mis à jour par AMS Les personnalisations d'AMI fournies par AMS qui déploient l'agent Trend Micro ne sont plus maintenues ni mises à jour par AMS	EC2 les détections de programmes malveillants sur les terminaux d'instance peuvent ne pas être remarquées Le micro-agent Trend n'est pas déployé sur des EC2 instances lancées à partir d'une instance non fournie par AMS AMIs	Envisagez des options pour poursuivre ou arrêter Trend Micro (voirTrend Micro Deep Security)
Gestion de la sécurité (suite)	Comptes principaux	L'infrastructure DSM de Trend Micro est laissée en place dans les comptes Shared Services, mais elle n'est plus maintenue ni mise à jour par AMS Trend Micro DSM ne transmet plus les alertes via le processus d'incident AMS	EC2 les détections de logiciels malveillants sur les terminaux d'instance peuvent passer inaperçues EC2 la protection des terminaux d'instance peut être affectée si l'infrastructure n'est pas maintenue (mises à jour des définitions, licences, etc.)	Décidez de poursuivre ou d'arrêter Trend Micro (voirTrend Micro Deep Security)
Gestion des modifications	Comptes d'application et de base	La console et l'API AMS RFC sont supprimées Les politiques de contrôle de service personnalisées d'AMS (SCPs) qui contiennent des restrictions d'accès au niveau du compte sont détachées lors de la déconnexion du compte Application et supprimées lors de la déconnexion du compte Core	Vous devez utiliser une AWS API native pour créer de nouvelles ressources, modifier des ressources existantes ou mettre à jour des CloudFormation piles existantes Les restrictions d'accès ne sont plus imposées au niveau du compte via AMS fourni SCPs	Assurez-vous que les rôles d'utilisateur fournissent un accès suffisant pour utiliser AWS les services Créer SCPs pour fournir des restrictions d'autorisation au niveau du compte
Images et automatisations du système d'exploitation AMS pour la gestion des services	Comptes d'application et de base	AMS ne fournit plus de support sur les personnalisations et les scripts de lancement inclus dans AMS fournis EC2 AMIs Les AMS fournis EC2 AMIs restent disponibles sur vos comptes externes Les runbooks Systems Manager Automation fournis par AMS ne sont pas partagés et ne peuvent plus être utilisés.	Après le déchargement, le fournisseur AMS a AMIs lancé CloudFormation send cfn-signal en `FAILURE` raison de dépendances manquantes vis-à-vis des composants AMS Les processus opérationnels qui dépendent des runbooks Systems Manager Automation fournis par AMS peuvent échouer	Passez en revue et mettez à jour tous les processus de construction ou opérationnels qui dépendent des runbooks AMS fournis AMIs ou de Systems Manager Automation
Infrastructure de services partagés	Comptes principaux	L'accès AMS est supprimé et AMS ne gère plus les composants partagés, notamment AMS Managed Active Directory AWS Transit Gateway, et AWS Organizations	Perte de gestion liée à l'infrastructure partagée	Réinitialisez l'accès administrateur à AMS Managed Active Directory et assumez la gestion des composants des services partagés
Génération de rapports	Comptes d'application et de base	AMS ne collecte plus les informations relatives aux comptes ou aux ressources pour les rapports agrégés	Perte de visibilité sur les indicateurs opérationnels et commerciaux (couverture des sauvegardes et des correctifs, gestion des modifications et activité des incidents)	Remplacez tous les rapports de données agrégés nécessaires entre les comptes par leur propre solution
Équipe chargée des comptes et service d'assistance AMS	Comptes d'application et de base	L'équipe chargée des comptes AMS (CSDM, CA) et le centre de service des opérations d'AMS ne prennent plus en charge les comptes externes	Perte de soutien opérationnel lié à l'expertise dans l'architecture de zone d'atterrissage multi-comptes conçue par AMS et les composants associés	Assurez-vous que le personnel est suffisant et que vous connaissez bien la structure des comptes et les ressources pour soutenir les opérations dans l'environnement

Alternatives d'accès

Voici des méthodes alternatives pour conserver l'accès à votre EC2 stack une fois que vous avez quitté les comptes AMS :

Utilisez le gestionnaire de session pour accéder aux EC2 instances dotées d'autorisations élevées sans avoir besoin de bastions ou d'accès au réseau entrant. Pour de plus amples informations, veuillez consulter AWS Systems Manager Session Manager.
Joignez EC2 les instances à un autre domaine Active Directory avec de nouvelles informations d'identification de domaine. Si vous l'utilisez Directory Service, consultez Joindre une EC2 instance à votre AWS Managed Microsoft AD répertoire.
Utilisez des comptes d'utilisateurs locaux que vous avez créés via l'une des autres méthodes d'accès ou via AWS Systems Manager Run Command.

Désactiver les scripts de EC2 lancement d'AMS

Systèmes d'exploitation Linux

Utilisez le gestionnaire de packages de votre distribution pour désinstaller le ams-modules package. Par exemple, pour Amazon Linux 2, utilisezyum remove ams-modules.

Systèmes d’exploitation Windows

Pour désactiver les scripts de EC2 lancement dans Windows, procédez comme suit :

Windows Server 2008/2012/2012r2/2016/2019 :

Désactivez ou supprimez la tâche planifiée de démarrage de Managed Services dans le planificateur de tâches. Pour répertorier les tâches planifiées, exécutez la Get-ScheduledTask -TaskName '*Ec2*' commande.

Windows Server 2022 :

Supprimez la tâche EC2 Launch v2. Cette tâche s'exécute par postReady étapes Initialize-AMSBoot dans C : \ \ Amazon ProgramData \ EC2 Launch \ config \ agent-config.yml sur l'instance. Voici un extrait d'un exemple : agent-config.yml
```
{
	"task": "executeScript",
	"inputs": [
		{
			"frequency": "always",
			"type": "powershell",
			"runAs": "localSystem"
		}
	]
}
```

(Facultatif) Supprimez le contenu du fichier suivant :


C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*

PBIS Open/Enterprise (pont AD)

Pour déterminer si vous utilisez l'édition PBIS Open ou PBIS Enterprise (AD Bridge), exécutez la commande suivante dans une instance EC2 gérée sous Linux :


yum info | grep pbis

Voici un exemple de sortie illustrant PBIS Enterprise (AD Bridge) :


Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development

PBIS ouvert

PBIS Open est un produit obsolète qui BeyondTrust n'est plus compatible. Pour plus d'informations, consultez la documentation de BeyondTrust pbis-open.

Pont AD (PBIS Enterprise)

Vous pouvez effectuer l'une des actions suivantes :

Renouvelez les licences et poursuivez l'exploitation d'AD Bridge. Contactez-nous BeyondTrust pour discuter des licences et de l'assistance.
Arrêtez d'utiliser AD Bridge. Exécutez la commande Shell suivante pour supprimer le package PBIS-Enterprise des instances gérées par Linux. Pour plus d'informations, consultez la BeyondTrust documentation Quitter un domaine et désinstaller l'agent AD Bridge.
```
$ sudo /opt/pbis/bin/uninstall.sh purge
```

Quittez le domaine Active Directory géré par AMS sans supprimer l'agent PBIS

Vous avez la possibilité de quitter l'Active Directory géré par AMS sans supprimer l'agent PBIS. Utilisez l'une des solutions suivantes, en fonction de votre système d'exploitation :

Trend Micro Deep Security

Utilisez l'une des options suivantes pour continuer ou arrêter l'utilisation de Trend Micro Deep Security :

Poursuivre l'utilisation

(Si vous déconnectez l'intégralité du MALZ) Après avoir déconnecté le compte Core, reconnectez les comptes d'application externes au Trend Micro Deep Security Manager (DSM) existant et conservez les licences dans le compte Shared Services. Pour plus d'informations, consultez Ajouter des comptes AWS cloud et Vérifier les informations de votre licence.
1. Connectez-vous au compte de services partagés et accédez à la console Secrets Manager.
2. Récupérez les informations d'identification de l'administrateur de la console DSM stockées dans le /ams/eps/ chemin.
3. Connectez-vous à la console DSM à l'adresse https://dsm.sentinel.int.
4. Choisissez Utiliser le rôle multi-comptes, puis entrezarn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role. Remplacez ACCOUNTID par l'ID du compte de l'application non embarquée.
5. Choisissez Suivant.
6. Patientez quelques minutes pour que DSM procède à la découverte du compte et indique que la synchronisation est réussie.
Reconnectez les comptes d'applications externes à une nouvelle installation de Trend Micro DSM. Pour plus d'informations, voir Activer et protéger les agents et Activer l'agent.
Reconnectez les comptes d'applications externes à Trend Micro Cloud One. Pour plus d'informations, voir Migrer de Deep Security vers Workload Security et Migrer depuis un DSM sur site.

Cesser l'utilisation

Désinstallez les agents Trend Micro Deep Security des comptes d'applications externes. Pour plus d'informations, voir Désinstaller Deep Security.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Déconnectez-vous des comptes de zone d'atterrissage à compte unique

Modes de gestion des modifications