Offboard dari akun landing zone multi-akun AMS - Panduan Pengguna Tingkat Lanjut AMS
Tugas untuk operasi lanjutan dari akun offboardedAkun Aplikasi OffboardAkun Offboard CorePerubahan offboardingAlternatif AksesNonaktifkan skrip EC2 peluncuran AMSPBIS Open/Enterprise (Jembatan AD)Trend Micro Deep Security

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Offboard dari akun landing zone multi-akun AMS

Ada dua jenis AWS akun yang dapat Anda lepaskan dari landing zone multi-akun AMS Advanced:

  • Akun aplikasi

  • Akun inti

Untuk melepaskan semua akun dari landing zone AMS Multi-akun Anda, Anda harus melepaskan semua akun Aplikasi sebelum Anda melepaskan akun Core.

Untuk mengambil alih dan melanjutkan beban kerja pengoperasian di akun Aplikasi atau Inti offboard, pastikan Anda meninjau dokumentasi ini dengan tim akun AMS Anda. Dokumentasi ini menguraikan perubahan yang dilakukan AMS selama proses offboard.

Tugas yang harus diselesaikan untuk melanjutkan pengoperasian akun offboarded

Tugas berikut diperlukan untuk melanjutkan pengoperasian akun yang Anda offboard dari landing zone multi-akun AMS:

  • Aktifkan mode Pengembang: Untuk mendapatkan lebih banyak izin ke akun Anda, aktifkan mode Pengembang sebelum Anda keluar dari akun Aplikasi dari AMS. Saat Anda mengaktifkan mode Pengembang, Anda dapat lebih mudah membuat perubahan yang diperlukan untuk mempersiapkan offboarding. Jangan mencoba menghapus atau memodifikasi sumber daya infrastruktur AMS. Jika Anda menghapus sumber daya infrastruktur AMS, AMS mungkin tidak dapat berhasil keluar dari akun Anda. Untuk informasi tentang cara mengaktifkan mode Pengembang, lihatMemulai mode AMS Advanced Developer.

    Jika Anda tidak dapat menyelesaikan perubahan yang diperlukan untuk mempersiapkan offboarding setelah Anda mengaktifkan mode Pengembang, hubungi tim akun AMS Anda untuk mendiskusikan persyaratan Anda.

  • Pilih metode alternatif untuk akses EC2 tumpukan: Setelah Anda melepaskan akun Aplikasi dari AMS, Anda tidak dapat menggunakannya RFCs untuk mengakses sumber daya tumpukan Anda. TinjauPerubahan offboarding, lalu pilih metode akses alternatif sehingga Anda mempertahankan akses ke tumpukan Anda. Untuk informasi selengkapnya, lihat Alternatif Akses.

Akun Aplikasi AMS Offboard

Untuk melepaskan akun Aplikasi dari lingkungan landing zone multi-akun Anda, selesaikan langkah-langkah berikut untuk setiap akun:

  1. Verifikasi bahwa tidak ada yang terbuka RFCs di akun. Untuk informasi selengkapnya, lihat Buat, kloning, perbarui, temukan, dan batalkan RFCs.

  2. Verifikasi bahwa Anda dapat mengakses alamat email pengguna utama atau root untuk akun tersebut.

  3. Dari akun Aplikasi, kirimkan RFC dengan Akun Aplikasi | Konfirmasi jenis perubahan offboarding (ct-2wlfo2jxj2rkj). Di RFC, tentukan akun Aplikasi ke offboard.

  4. Dari akun Manajemen, kirimkan RFC dengan akun Manajemen | Akun Aplikasi Offboard (ct-0vdiy51oyrhhm) jenis perubahan. Di RFC, tentukan akun Aplikasi ke offboard. Juga, tunjukkan apakah Anda ingin menghapus atau mempertahankan lampiran gateway transit ke landing zone.

  5. Untuk memastikan penagihan AMS dihentikan, beri tahu CSDM bahwa Anda telah melakukan offboard akun.

Hal berikut terjadi setelah akun Aplikasi di-offboard:

  • Semua komponen dipisahkan dari layanan AMS, tetapi sumber daya yang Anda buat tetap ada di akun. Anda dapat memilih untuk menyimpan atau menutup akun AMS yang di-offboard.

  • Akun inti dan akun Aplikasi lainnya yang tersisa berfungsi normal setelah akun Aplikasi di-offboard.

  • Penagihan AMS dihentikan, tetapi AWS penagihan tidak dihentikan sampai Anda menutup akun. Untuk informasi selengkapnya, lihat Apa yang perlu Anda ketahui sebelum menutup akun Anda.

  • Jika akun ditutup, maka akun tersebut terlihat di organisasi Anda di suspended negara bagian selama 90 hari. Setelah 90 hari, akun yang ditutup dihapus secara permanen dan tidak lagi terlihat di organisasi Anda.

  • Setelah akun ditutup, Anda masih dapat masuk dan mengajukan kasus dukungan atau kontak Dukungan selama 90 hari.

  • Setelah 90 hari, konten apa pun yang tersisa di akun dihapus secara permanen dan AWS layanan yang tersisa dihentikan.

T: Dapatkah saya menggunakan peran IAM federasi saya untuk terus mengakses akun Aplikasi yang saya offboard dari landing zone multi-akun AMS saya?

Ya. Peran default AWS Identity and Access Management (IAM) yang dibuat AMS tetap tersedia di akun setelah AMS offboarding. Namun, peran dan kebijakan ini dirancang untuk digunakan dengan manajemen akses AMS. Untuk menyediakan akses yang diperlukan bagi pengguna Anda, Anda mungkin perlu menyebarkan sumber daya IAM Anda sendiri.

T: Bagaimana cara mendapatkan akses penuh ke akun Aplikasi yang saya offboard dari landing zone multi-akun AMS saya?

Akun Aplikasi Offboarded dipindahkan ke Unit Organisasi Usang (OU) dalam struktur akun. AWS Organizations Langkah ini mengangkat pembatasan akses SCP yang sebelumnya memblokir akses pengguna root. Untuk selengkapnya tentang cara mengatur ulang kredensi pengguna root, lihat Menyetel ulang kata sandi pengguna root yang hilang atau terlupakan.

T: Perubahan apa yang dilakukan selama offboarding akun Aplikasi?

Untuk informasi tentang tindakan yang dilakukan AMS saat layanan keluar dari akun, lihatPerubahan offboarding.

T: Dapatkah saya melepaskan akun Aplikasi tanpa melepaskannya dari gateway transit?

Ya. Gunakan akun Manajemen | Akun Aplikasi Offboard (ct-0vdiy51oyrhhm) ubah jenis untuk mengirimkan RFC, dan tentukan parameternya sebagai. DeleteTransitGatewayAttachment False

T: Berapa lama waktu yang dibutuhkan untuk melepaskan akun Aplikasi?

Bila Anda menggunakan akun Manajemen | Akun Aplikasi Offboard (ct-0vdiy51oyrhhm) mengubah jenis, selesai dalam waktu 1 jam. RFCs

T: Apakah wajib saya menutup akun offboarded?

Tidak. Penutupan akun setelah offboarding AMS tidak wajib. Selama proses offboarding, AMS menghapus akses dan pengelolaannya atas AWS akun Anda, tetapi akun dan sumber daya Anda di dalam akun tetap ada. Penting untuk dicatat bahwa setelah AMS offboarding, Anda bertanggung jawab penuh untuk mengelola dan memelihara AWS akun dan sumber daya Anda. AMS tidak bertanggung jawab atas masalah, insiden, atau gangguan layanan apa pun yang mungkin terjadi di akun Anda setelah proses offboarding selesai. Untuk informasi selengkapnya, lihat Bagaimana cara menutup AWS akun saya? .

T: Jika saya mengajukan permintaan penutupan akun, apakah semua sumber daya yang ada segera dihapus?

Tidak. Penutupan akun tidak menghentikan sumber daya Anda. Sumber daya di akun secara otomatis berakhir 90 hari setelah permintaan penutupan. Penagihan AMS berhenti, tetapi penagihan AWS sumber daya tidak berhenti sampai Anda menutup akun. Untuk informasi selengkapnya, lihat Apa yang perlu Anda ketahui sebelum menutup akun Anda.

T: Dapatkah saya menjadwalkan offboarding akun Aplikasi?

Ya. Anda dapat menjadwalkan RFCs untuk berjalan pada waktu tertentu. Namun, Akun Aplikasi | Konfirmasi offboarding RFC harus diselesaikan sebelum Anda dapat menjadwalkan akun Manajemen | Akun Aplikasi Offboard RFC. Untuk informasi selengkapnya, lihat penjadwalan RFC.

  • R: Pihak yang bertanggung jawab. Pihak yang bertanggung jawab untuk menyelesaikan tugas yang tercantum.

  • A: Pihak yang bertanggung jawab. Partai yang menyetujui tugas yang diselesaikan.

  • C: Pihak yang dikonsultasikan. Sebuah pihak yang pendapatnya dicari, biasanya sebagai ahli materi pelajaran, dan dengan siapa ada komunikasi bilateral.

  • I: Pesta yang diinformasikan. Sebuah pihak yang diinformasikan tentang kemajuan, seringkali hanya pada penyelesaian tugas atau deliverable.

Aktifitas Pelanggan AWS Managed Services (AMS)
Prasyarat
Verifikasi akses ke alamat email root untuk setiap ID AWS akun yang akan di-offboard R C
Tinjau dokumentasi AMS tentang tindakan pelanggan yang direkomendasikan dan siapkan akun untuk offboarding AMS R C
Jika diperlukan, kirimkan RFC untuk mengaktifkan mode Pengembang guna menyiapkan akun untuk offboarding AMS R I
Jika diperlukan, pilih metode alternatif untuk akses EC2 tumpukan. R I
Offboarding
Kirim RFCs untuk mengonfirmasi dan meminta offboarding akun Aplikasi R I
Komponen AMS offboard dari akun Aplikasi I R
Beri tahu AMS CSDM tentang akun offboard untuk menghentikan penagihan AMS R I
Pasca offboarding
Setel ulang kata sandi akun pengguna root dan verifikasi akses root di akun offboard R C
Tutup akun atau ikuti panduan AMS tentang tindakan pelanggan yang direkomendasikan dalam dokumentasi offboarding AMS untuk terus mengoperasikan akun R C

Akun Offboard Core

Untuk melakukan offboard multi-account landing zone Core, selesaikan langkah-langkah berikut:

  1. Verifikasi bahwa semua akun Aplikasi di landing zone telah di-offboard dari AMS.

  2. Verifikasi bahwa Anda tidak memiliki akun terbuka RFCs . Untuk informasi selengkapnya, lihat Buat, kloning, perbarui, temukan, dan batalkan RFCs.

  3. Verifikasi bahwa Anda dapat mengakses alamat email pengguna utama atau root untuk semua akun Core. Untuk informasi selengkapnya, lihat Akun Zona Pendaratan Multi-Akun.

  4. Verifikasi bahwa Anda dapat mengakses nomor telepon pengguna utama atau root untuk akun manajemen. Gunakan peran AWSManagedServicesBillingRole IAM untuk memperbarui nomor telepon. Untuk informasi selengkapnya, lihat Bagaimana cara memperbarui nomor telepon yang terkait dengan AWS akun saya? .

  5. Masuk ke akun manajemen landing zone AMS Anda dan kirimkan permintaan layanan AMS. Dalam permintaan layanan, tentukan untuk melepaskan seluruh landing zone Anda.

Berikut ini terjadi setelah akun Core di-offboard:

  • Semua komponen dipisahkan dari layanan AMS, tetapi beberapa AWS sumber daya tetap ada di akun. Anda dapat memilih untuk menyimpan atau menutup akun Inti yang di-offboard AMS.

  • Penagihan AMS dihentikan, tetapi AWS penagihan tidak dihentikan sampai Anda menutup akun. Untuk informasi selengkapnya, lihat Apa yang perlu Anda ketahui sebelum menutup akun Anda.

  • Jika akun ditutup, maka akun tersebut terlihat di organisasi Anda di suspended negara bagian selama 90 hari. Setelah 90 hari, akun anggota yang ditutup dihapus secara permanen dan tidak lagi terlihat di organisasi Anda.

  • Setelah akun ditutup, Anda masih dapat masuk dan mengajukan kasus dukungan atau kontak Dukungan selama 90 hari.

  • Setelah akun ditutup selama 90 hari, konten apa pun yang tersisa di akun dihapus secara permanen, dan AWS layanan yang tersisa dihentikan.

T: Dapatkah saya menggunakan peran IAM federasi saya untuk terus mengakses akun Core offboard?

Ya. Peran default AWS Identity and Access Management (IAM) yang dibuat AMS tetap tersedia di akun offboard. Namun, peran dan kebijakan ini dirancang untuk digunakan dengan manajemen akses AMS. Untuk menyediakan akses yang diperlukan bagi pengguna Anda, Anda mungkin perlu menyebarkan sumber daya IAM Anda sendiri.

T: Bagaimana cara mendapatkan akses penuh ke akun Manajemen, Layanan Bersama, Jaringan, atau akun MALZ non-aplikasi lainnya setelah melakukan offboarding dari landing zone multi-akun AMS?

Setelah offboarding, ikuti petunjuk di Mengatur ulang kata sandi pengguna root yang hilang atau terlupakan untuk menggunakan kredensil pengguna utama (root) untuk mengakses akun Core selain akun manajemen. Tidak seperti jenis akun lainnya, akun manajemen mempertahankan perangkat otentikasi multi-faktor (MFA) yang tidak dapat diakses yang terkait dengan pengguna root untuk mencegah penggunaan. Untuk mendapatkan kembali akses root, Anda harus mengikuti proses pemulihan perangkat MFA yang hilang.

T: Perubahan apa yang dilakukan selama offboarding akun Core?

Untuk informasi tentang tindakan yang dilakukan AMS saat layanan keluar dari akun, lihatPerubahan offboarding.

T: Berapa lama waktu yang dibutuhkan offboarding akun Core untuk diselesaikan?

Proses offboarding akun Core biasanya memakan waktu hingga 30 hari untuk diselesaikan. Namun, untuk memastikan bahwa semua langkah yang diperlukan diselesaikan dengan benar, Anda harus memulai permintaan offboarding setidaknya 7 hari sebelum offboarding dimulai. Untuk memfasilitasi transisi yang mudah, rencanakan terlebih dahulu dan kirimkan permintaan offboarding Anda terlebih dahulu.

T: Bagaimana cara mengelola komponen bersama setelah AMS offboarding?

AMS Managed Active Directory dan komponen infrastruktur layanan bersama lainnya dirancang untuk akses operator AMS. Anda mungkin perlu memperbarui grup keamanan Amazon Elastic Compute Cloud (Amazon EC2), kebijakan kontrol AWS Organizations layanan (SCP), atau membuat perubahan lain untuk mempertahankan akses penuh ke komponen ini.

T: Dapatkah saya menutup akun Core offboard?

Secara default, akun Aplikasi memiliki beberapa dependensi pada akun MALZ Core, seperti AWS Organizations keanggotaan, konektivitas jaringan gateway transit, dan resolusi DNS melalui AMS Managed Active Directory. Setelah Anda menyelesaikan ketergantungan ini, Anda dapat menonaktifkan dan menutup akun Core offboard. Untuk informasi selengkapnya, lihat Akun Zona Pendaratan Multi-Akun.

  • R: Pihak yang bertanggung jawab. Pihak yang bertanggung jawab untuk menyelesaikan tugas yang tercantum.

  • A: Pihak yang bertanggung jawab. Partai yang menyetujui tugas yang diselesaikan.

  • C: Pihak yang dikonsultasikan. Sebuah pihak yang pendapatnya dicari, biasanya sebagai ahli materi pelajaran, dan dengan siapa ada komunikasi bilateral.

  • I: Pesta yang diinformasikan. Sebuah pihak yang diinformasikan tentang kemajuan, seringkali hanya pada penyelesaian tugas atau deliverable.

Aktifitas Pelanggan AWS Managed Services (AMS)
Prasyarat
Verifikasi akses ke alamat email root untuk setiap ID akun AWS yang akan di-offboard R C
Verifikasi akses ke dan perbarui nomor telepon pengguna root untuk akun manajemen R C
Tinjau dokumentasi AMS tentang tindakan pelanggan yang direkomendasikan dan siapkan akun untuk offboarding AMS R C
Offboarding
Kirim permintaan layanan untuk meminta offboarding landing zone R I
Komponen AMS offboard dari akun Core I R
Pasca offboarding
Setel ulang kata sandi akun pengguna root dan verifikasi akses root di akun offboard R C
Tutup akun atau ikuti panduan AMS tentang tindakan pelanggan yang direkomendasikan dalam dokumentasi offboarding AMS untuk terus mengoperasikan akun R C

Perubahan offboarding

Tabel berikut menjelaskan tindakan yang dilakukan AMS untuk offboarding landing zone multi-akun, potensi dampak, dan tindakan yang direkomendasikan.

Komponen Jenis akun Tindakan yang diambil untuk offboard Dampak potensial Tindakan pelanggan yang direkomendasikan
Manajemen akses Akun aplikasi

Setelah offboarding, akses tumpukan RFCs untuk just-in-time, akses terikat waktu tidak dapat lagi dikirimkan untuk mengakses EC2 tumpukan melalui host benteng AMS

AMS tidak lagi mengelola komponen terkait akses pada tumpukan EC2 sumber daya yang ada (agen Terbuka PBIS, skrip gabungan domain)

Tidak dapat menggunakan benteng AMS melalui RFS untuk mengakses instans EC2

EC2 instance yang diluncurkan dari non-AMS yang disediakan AMIs tidak digabungkan ke domain Direktori Aktif Terkelola

Jika tidak dihapus, skrip peluncuran AMS di tumpukan sumber daya yang ada mungkin menghasilkan kesalahan karena dependensi AMS yang hilang, dan mencegah bergabung kembali ke domain yang berbeda

Gunakan metode alternatif untuk mengakses EC2 instance (lihatAlternatif Akses)

Hapus skrip peluncuran AMS dari tumpukan EC2 sumber daya yang ada (lihat) Nonaktifkan skrip EC2 peluncuran AMS

Manajemen akses (lanjutan) Akun inti Jika Anda bermigrasi dari PBIS Open ke PBIS Enterprise (AD Bridge), maka AMS tidak lagi memperbarui lisensi setelah offboarding akun inti Jika lisensi PBIS Enterprise diizinkan kedaluwarsa, kredensil Active Directory tidak valid untuk tumpukan instans berbasis Linux yang ada EC2 Jika Anda bermigrasi ke PBIS Enterprise (AD Bridge), putuskan apakah akan mempertahankan lisensi atau penonaktifan (lihat) PBIS Open/Enterprise (Jembatan AD)
Penebangan, Pemantauan, Incident/Event Manajemen Aplikasi dan akun Inti

Komponen AMS yang akan diterapkan Peringatan dari pemantauan dasar di AMS dihapus

CloudWatch Alarm Amazon yang digunakan tetap ada tetapi tidak lagi membuat insiden AMS

AWS Config otorisasi agregasi dari AMS dan akun keamanan MALZ Core dihapus

AWS Config aturan tetap diterapkan dan Amazon GuardDuty tetap diaktifkan, tetapi tidak lagi membuat insiden AMS

Sumber daya yang baru dibuat tidak memiliki pemantauan dasar AMS dan alarm diterapkan

Alarm metrik infrastruktur dan peristiwa keamanan tidak lagi menghasilkan insiden AMS

AWS Config tidak lagi dikumpulkan dalam akun pusat

Tentukan, tangkap, dan analisis metrik operasi untuk melihat peristiwa beban kerja dan mengambil tindakan yang tepat.

Menerapkan alur kerja peringatan yang diperlukan untuk terus menerapkan pemantauan operasional dan alarm yang diperlukan pada sumber daya baru dan untuk menerima peringatan keamanan dari dan AWS Config Amazon. GuardDuty

Manajemen kontinuitas (Backup dan Restore) Akun aplikasi

AMS tidak lagi memantau pekerjaan pencadangan atau melakukan permintaan pencadangan dan pemulihan

Brankas cadangan default AMS, kunci enkripsi cadangan, dan peran cadangan tetap ada

Kegagalan operasi Backup mungkin tidak diperhatikan Pantau dan tinjau konfigurasi rencana cadangan
Manajemen tambalan Aplikasi dan akun Inti

AMS tidak lagi memantau operasi penambalan untuk eksekusi yang berhasil atau melakukan penambalan manual

AMS tidak lagi memperbarui komponen infrastruktur AMS

Garis dasar tambalan yang disediakan AMS dipertahankan

Runbook otomatisasi AWS Systems Manager patch yang disediakan AMS tidak dibagikan dan tidak lagi tersedia untuk digunakan

Kegagalan operasi penambalan mungkin tidak diperhatikan

Konfigurasi patch yang ada yang bergantung pada AMS yang disediakan runbook Systems Manager Automation harus dikonfigurasi ulang untuk melanjutkan tanpa gangguan

Tinjau dan konfigurasikan ulang konfigurasi patching sesuai kebutuhan
Manajemen jaringan Akun aplikasi Jika ditentukan, lampiran gateway transit di akun Aplikasi offboard akan dihapus Akun Aplikasi Offboarded tidak dapat lagi menggunakan gateway transit untuk mengakses layanan bersama, seperti Direktori Aktif Terkelola atau akun Aplikasi lainnya Tentukan DeleteTransitGatewayAttachment False untuk mempertahankan konektivitas gateway transit
Manajemen keamanan Akun aplikasi

Akun terlepas dari konsol Trend Micro DSM pusat. Selain itu, agen endpoint tidak lagi meneruskan peringatan melalui proses insiden AMS

Agen Trend Micro tetap diinstal tetapi tidak lagi dikelola atau diperbarui oleh AMS

AMS menyediakan kustomisasi AMI yang menerapkan agen Trend Micro tidak lagi dikelola atau diperbarui oleh AMS

EC2 deteksi malware titik akhir instance mungkin tidak diperhatikan

Agen mikro Trend tidak digunakan pada EC2 instance yang diluncurkan dari non-AMS yang disediakan AMIs

Pertimbangkan opsi untuk melanjutkan atau menghentikan Trend Micro (lihatTrend Micro Deep Security)
Manajemen keamanan (cont'd) Akun inti

Infrastruktur Trend Micro DSM dibiarkan di dalam akun Layanan Bersama tetapi tidak lagi dikelola atau diperbarui oleh AMS

Trend Micro DSM tidak lagi meneruskan peringatan melalui proses insiden AMS

EC2 deteksi malware titik akhir instance mungkin luput dari perhatian

EC2 perlindungan titik akhir instance mungkin terpengaruh jika infrastruktur tidak dipertahankan (pembaruan definisi, lisensi, dan sebagainya)

Putuskan apakah akan melanjutkan atau menghentikan Trend Micro (lihat (lihatTrend Micro Deep Security)
Manajemen perubahan Aplikasi dan akun Inti

Konsol dan API AMS RFC dihapus

Kebijakan kontrol layanan kustom AMS (SCPs) yang berisi pembatasan akses tingkat akun terlepas selama offboarding akun Aplikasi, dan dihapus selama offboarding akun Core

Anda harus menggunakan AWS API bawaan untuk membuat sumber daya baru, mengubah sumber daya yang ada, atau memperbarui AWS CloudFormation tumpukan yang ada

Pembatasan akses tidak lagi diberlakukan di tingkat akun melalui AMS yang disediakan SCPs

Pastikan bahwa peran pengguna menyediakan akses yang cukup untuk menggunakan AWS layanan

Buat SCPs untuk memberikan batasan izin tingkat akun

Gambar dan otomatisasi OS AMS untuk manajemen layanan Aplikasi dan akun Inti

AMS tidak lagi menyediakan dukungan pada kustomisasi dan meluncurkan skrip yang disertakan dalam AMS yang disediakan EC2 AMIs

AMS yang disediakan EC2 AMIs tetap tersedia di akun offboard Anda

Runbook Otomasi Systems Manager yang disediakan AMS tidak dibagikan dan tidak lagi tersedia untuk digunakan

Setelah offboarding, AMS disediakan AMIs diluncurkan dengan AWS CloudFormation send cfn-signal FAILURE karena dependensi yang hilang pada komponen AMS

Proses operasional yang bergantung pada AMS yang disediakan runbook Systems Manager Automation mungkin gagal

Tinjau dan perbarui proses pembuatan atau operasional apa pun yang bergantung pada AMS yang disediakan AMIs atau runbook Otomasi Systems Manager
Infrastruktur layanan bersama Akun inti Akses AMS dihapus dan AMS tidak lagi mengelola komponen bersama, termasuk AMS Managed Active Directory AWS Transit Gateway, dan AWS Organizations Kehilangan manajemen atas infrastruktur bersama Setel ulang akses admin ke AMS Managed Active Directory dan asumsikan pengelolaan komponen layanan bersama
Pelaporan Aplikasi dan akun Inti AMS tidak lagi mengumpulkan detail akun atau tingkat sumber daya untuk pelaporan agregat Hilangnya wawasan tentang metrik operasional dan bisnis (cakupan cadangan dan penambalan, manajemen perubahan, dan aktivitas insiden) Ganti pelaporan data agregat yang diperlukan di seluruh akun dengan solusinya sendiri
Tim akun AMS dan meja layanan Aplikasi dan akun Inti Tim akun AMS (CSDM, CA) dan meja layanan operasi AMS tidak lagi mendukung akun offboard Hilangnya dukungan operasional dengan keahlian dalam arsitektur landing zone multi-akun yang dirancang AMS dan komponen terkait Pastikan bahwa ada personel yang memadai dan keakraban dengan struktur akun dan sumber daya untuk mendukung operasi di lingkungan

Alternatif Akses

Berikut ini adalah metode alternatif untuk mempertahankan akses ke EC2 tumpukan Anda setelah Anda melepaskan akun AMS:

Nonaktifkan skrip EC2 peluncuran AMS

Sistem operasi Linux

Gunakan manajer paket distribusi Anda untuk menghapus instalasi ams-modules paket. Misalnya, untuk Amazon Linux 2 gunakanyum remove ams-modules.

Sistem operasi Windows

Untuk menonaktifkan skrip EC2 peluncuran di Windows, selesaikan langkah-langkah berikut:

  1. Windows Server 2008/2012/2012r2/2016/2019:

    Menonaktifkan atau menghapus tugas terjadwal Managed Services Startup dari Task Scheduler. Untuk membuat daftar tugas terjadwal, jalankan Get-ScheduledTask -TaskName '*Ec2*' perintah.

    Server Windows 2022:

    Hapus tugas EC2 Launch v2. Tugas ini berjalan Initialize-AMSBoot secara bertahap di postReady C:\\ AmazonProgramData\ EC2 Launch\ config\ agent-config.yl pada instance. Berikut ini adalah cuplikan dari sebuah contoh: agent-config.yml

    {
	"task": "executeScript",
	"inputs": [
		{
			"frequency": "always",
			"type": "powershell",
			"runAs": "localSystem"
		}
	]
}

  2. (Opsional) Hapus isi file berikut:

    C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*

PBIS Open/Enterprise (Jembatan AD)

Untuk menentukan apakah Anda menggunakan edisi PBIS Open atau PBIS Enterprise (AD Bridge), jalankan perintah berikut dalam instance yang EC2 dikelola Linux:

yum info | grep pbis

Berikut ini adalah contoh output yang menunjukkan PBIS Enterprise (AD Bridge):

Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development

PBIS Terbuka

PBIS Open adalah produk usang yang BeyondTrust tidak lagi mendukung. Untuk informasi selengkapnya, lihat dokumentasi BeyondTrust pbis-open.

Jembatan AD (Perusahaan PBIS)

Anda dapat melakukan salah satu hal berikut:

  • Perbarui lisensi dan lanjutkan pengoperasian AD Bridge. Hubungi BeyondTrust untuk mendiskusikan lisensi dan dukungan.

  • Hentikan penggunaan AD Bridge. Jalankan perintah Shell berikut untuk menghapus paket PBIS-Enterprise dari instance yang dikelola Linux. Untuk informasi selengkapnya, lihat BeyondTrust dokumentasi Tinggalkan Domain dan Hapus Instalasi Agen Jembatan AD.

    $ sudo /opt/pbis/bin/uninstall.sh purge

Tinggalkan domain Active Directory yang dikelola AMS tanpa menghapus agen PBIS

Anda memiliki opsi untuk meninggalkan Direktori Aktif terkelola AMS tanpa menghapus agen PBIS. Gunakan salah satu solusi berikut, tergantung pada sistem operasi Anda:

Linux operating systems

Gunakan PBIS dari AD terkelola AMS untuk menjalankan perintah shell berikut untuk berhenti bergabung dengan instance Linux EC2 . Untuk informasi selengkapnya, lihat dokumentasi BeyondTrust pbis-open atau BeyondTrust AD Bridge, tergantung pada versi yang Anda gunakan.

$ sudo /opt/pbis/bin/domainjoin-cli leave

Anda mungkin melihat pesan kesalahan yang mirip dengan berikut ini:

Error: LW_ERROR_KRB5_REALM_CANT_RESOLVE [code 0x0000a3e1]
Cannot resolve network address for KDC in requested realm

Jika kesalahan ini terjadi, maka jalankan perintah berikut untuk menghapus registri penyedia AD dan memulai ulang lwsm layanan:

$ /opt/pbis/bin/regshell dir '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin]'

Gunakan output ID direktori yang Anda terima dari perintah sebelumnya (misalnya,A123EXAMPLE.AMAZONAWS.COM) untuk menjalankan perintah berikut:

$ /opt/pbis/bin/regshell delete_tree \
'[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin\DIRECTORYID]'

$ /etc/pbis/redhat/lwsmd restart

$ /opt/pbis/bin/lwsm restart lwreg
Windows operating systems
# Collect hostname and domain name using:

Test-ComputerSecureChannel -verbose

# Disjoin computer from the domain:

netdom remove hostname /domain:domain name /force
catatan

Pastikan untuk menonaktifkan atau menghapus tugas terjadwal Startup Managed Services seperti yang disebutkan diNonaktifkan skrip EC2 peluncuran AMS.

Trend Micro Deep Security

Gunakan salah satu opsi berikut untuk melanjutkan atau menghentikan penggunaan Trend Micro Deep Security:

Lanjutkan penggunaan

  • (Jika offboarding seluruh MALZ) Setelah offboarding akun Core, sambungkan kembali akun Aplikasi offboard ke Trend Micro Deep Security Manager (DSM) yang ada dan pertahankan lisensi di akun Layanan bersama. Untuk informasi selengkapnya, lihat Menambahkan akun AWS cloud dan Memeriksa informasi lisensi Anda.

    1. Masuk ke akun layanan bersama dan arahkan ke konsol Secrets Manager.

    2. Ambil kredenal admin konsol DSM yang disimpan di jalur. /ams/eps/

    3. Masuk ke konsol DSM di https://dsm.sentinel.int.

    4. Pilih Gunakan Peran Lintas Akun, lalu masukkanarn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role. Ganti ACCOUNTID dengan ID akun Aplikasi offboarded.

    5. Pilih Berikutnya.

    6. Tunggu beberapa menit hingga DSM memproses penemuan akun dan menunjukkan bahwa sinkronisasi berhasil.

  • Sambungkan kembali akun Aplikasi offboard ke instalasi Trend Micro DSM baru. Untuk informasi selengkapnya, lihat Mengaktifkan dan melindungi agen dan Aktifkan agen.

  • Sambungkan kembali akun Aplikasi offboard ke Trend Micro Cloud One. Untuk informasi selengkapnya, lihat Memigrasi dari Deep Security ke Workload Security dan Migrate dari DSM lokal.

Hentikan penggunaan