기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AMS 다중 계정 랜딩 존 계정에서 오프보드
AMS Advanced 다중 AWS 계정 랜딩 존에서 오프보딩할 수 있는 두 가지 유형의 계정이 있습니다.
-
애플리케이션 계정
-
코어 계정
AMS 다중 계정 랜딩 존에서 모든 계정을 오프보드하려면 코어 계정을 오프보드하기 전에 모든 애플리케이션 계정을 오프보드해야 합니다.
오프보딩된 애플리케이션 또는 코어 계정에서 워크로드를 인수하고 계속 운영하려면 AMS 계정 팀과 함께이 설명서를 검토해야 합니다. 이 설명서에서는 오프보드 프로세스 중에 AMS가 수행하는 변경 사항을 간략하게 설명합니다.
오프보딩된 계정의 지속적인 운영을 위해 완료해야 할 작업
AMS 다중 계정 랜딩 존에서 오프보딩한 계정을 계속 운영하려면 다음 작업이 필요합니다.
개발자 모드 켜기: 계정에 대한 추가 권한을 얻으려면 AMS에서 애플리케이션 계정을 오프보드하기 전에 개발자 모드를 켭니다. 개발자 모드를 켜면 오프보딩을 준비하는 데 필요한 사항을 더 쉽게 변경할 수 있습니다. AMS 인프라 리소스를 제거하거나 수정하지 마세요. AMS 인프라 리소스를 삭제하면 AMS가 계정을 성공적으로 오프보드하지 못할 수 있습니다. 개발자 모드를 활성화하는 방법에 대한 자세한 내용은 섹션을 참조하세요AMS Advanced Developer 모드 시작하기.
개발자 모드를 켠 후 오프보딩을 준비하는 데 필요한 변경 사항을 완료할 수 없는 경우 AMS 계정 팀에 문의하여 요구 사항을 논의하세요.
EC2 스택 액세스를 위한 대체 방법 선택: AMS에서 애플리케이션 계정을 오프보드한 후에는 RFCs 사용하여 스택 리소스에 액세스할 수 없습니다. 를 검토한 오프보딩 변경 사항다음 스택에 대한 액세스를 유지할 대체 액세스 방법을 선택합니다. 자세한 내용은 대체 액세스 단원을 참조하십시오.
AMS 애플리케이션 계정 오프보드
다중 계정 랜딩 존 환경에서 애플리케이션 계정을 오프보딩하려면 각 계정에 대해 다음 단계를 완료합니다.
계정에 열려 있는 RFCs가 없는지 확인합니다. 자세한 내용은 RFCs 생성, 복제, 업데이트, 찾기 및 취소 단원을 참조하십시오.
계정의 기본 또는 루트 사용자 이메일 주소에 액세스할 수 있는지 확인합니다.
애플리케이션 계정에서 애플리케이션 계정 | 오프보딩 확인(ct-2wlfo2jxj2rkj) 변경 유형을 사용하여 RFC를 제출합니다. RFC에서 오프보드할 애플리케이션 계정을 지정합니다.
관리 계정에서 관리 계정 | 오프보드 애플리케이션 계정(ct-0vdiy51oyrhm) 변경 유형을 사용하여 RFC를 제출합니다. RFC에서 오프보드할 애플리케이션 계정을 지정합니다. 또한 랜딩 존에 대한 전송 게이트웨이 연결을 삭제하거나 유지할지 여부를 지정합니다.
AMS 결제가 중지되었는지 확인하려면 계정을 오프보딩했음을 CSDM에 알립니다.
애플리케이션 계정이 오프보딩된 후 다음이 발생합니다.
모든 구성 요소는 AMS 서비스에서 연결 해제되지만 생성된 리소스는 계정에 남아 있습니다. AMS 오프보딩된 계정을 유지하거나 닫도록 선택할 수 있습니다.
코어 계정 및 기타 나머지 애플리케이션 계정은 애플리케이션 계정이 오프보딩된 후 정상적으로 작동합니다.
AMS 결제는 중지되지만 계정을 해지할 때까지 AWS 결제는 중지되지 않습니다. 자세한 내용은 계정을 해지하기 전에 알아야 할 사항을 참조하세요.
계정이 해지되면 90일
suspended동안 조직에 상태가 표시됩니다. 90일이 지나면 해지된 계정이 영구적으로 제거되고 조직에 더 이상 표시되지 않습니다.계정이 해지된 후에도 90일 지원 동안 로그인하여 지원 사례 또는 연락처를 제출할 수 있습니다.
90일이 지나면 계정에 남아 있는 모든 콘텐츠가 영구적으로 삭제되고 나머지 AWS 서비스가 종료됩니다.
- Q: 연합된 IAM 역할을 사용하여 AMS 다중 계정 랜딩 존에서 오프보딩한 애플리케이션 계정에 계속 액세스할 수 있나요?
예. AMS에서 생성한 기본 AWS Identity and Access Management (IAM) 역할은 AMS 오프보딩 후에도 계정에서 계속 사용할 수 있습니다. 그러나 이러한 역할 및 정책은 AMS 액세스 관리와 함께 사용하도록 설계되었습니다. 사용자에게 필요한 액세스 권한을 제공하려면 자체 IAM 리소스를 배포해야 할 수 있습니다.
- Q: AMS 다중 계정 랜딩 존에서 오프보딩한 애플리케이션 계정에 대한 전체 액세스 권한을 얻으려면 어떻게 해야 합니까?
오프보딩된 애플리케이션 계정은 AWS Organizations 계정 구조의 더 이상 사용되지 않는 조직 단위(OU)로 이동합니다. 이 이동은 이전에 루트 사용자 액세스를 차단한 SCP 액세스 제한을 해제합니다. 루트 사용자 자격 증명을 재설정하는 방법에 대한 자세한 내용은 분실했거나 잊어버린 루트 사용자 암호 재설정을 참조하세요.
- Q: 애플리케이션 계정 오프보딩 중에 어떤 변경 사항이 적용되나요?
서비스가 계정을 오프보드할 때 AMS가 수행하는 작업에 대한 자세한 내용은 섹션을 참조하세요오프보딩 변경 사항.
- Q: 전송 게이트웨이에서 분리하지 않고 애플리케이션 계정을 오프보드할 수 있나요?
예. 관리 계정 | 오프보드 애플리케이션 계정(ct-0vdiy51oyrhm) 변경 유형을 사용하여 RFC를 제출하고
DeleteTransitGatewayAttachment파라미터를 로 지정합니다False.- Q: 애플리케이션 계정을 오프보딩하는 데 얼마나 걸리나요?
관리 계정 | 오프보드 애플리케이션 계정(ct-0vdiy51oyrhm) 변경 유형을 사용하면 RFCs 1시간 이내에 완료됩니다.
- Q: 오프보딩된 계정을 닫아야 하나요?
아니요. AMS 오프보딩 후 계정을 해지할 필요는 없습니다. 오프보딩 프로세스 중에 AMS는 AWS 계정의 액세스 및 관리를 제거하지만 계정과 계정 내 리소스는 유지됩니다. AMS 오프보딩 후 AWS 계정 및 리소스를 관리하고 유지 관리하는 것은 전적으로 사용자의 책임입니다. AMS는 오프보딩 프로세스가 완료된 후 계정에서 발생할 수 있는 문제, 인시던트 또는 서비스 중단에 대해 책임을 지지 않습니다. 자세한 내용은 AWS 계정을 해지하려면 어떻게 해야 하나요?를 참조하세요
. - Q: 계정 해지 요청을 제출하면 기존 리소스가 모두 즉시 삭제되나요?
아니요. 계정 폐쇄는 리소스를 종료하지 않습니다. 계정의 리소스는 해지 요청 후 90일이 지나면 자동으로 종료됩니다. AMS 결제는 중지되지만 계정을 해지할 때까지 AWS 리소스 결제는 중지되지 않습니다. 자세한 내용은 계정을 해지하기 전에 알아야 할 사항을 참조하세요.
- Q: 애플리케이션 계정의 오프보딩을 예약할 수 있나요?
예. RFCs가 특정 시간에 실행되도록 예약할 수 있습니다. 그러나 관리 계정 | 오프보드 애플리케이션 계정 RFC를 예약하려면 먼저 애플리케이션 계정 | 오프보딩 RFC 확인을 완료해야 합니다. 자세한 내용은 RFC 예약을 참조하세요.
-
R: 책임 당사자. 나열된 작업을 완료할 책임이 있는 당사자입니다.
-
A: 책임 당사자. 완료된 작업을 승인하는 당사자입니다.
-
C: 상담 당사자. 일반적으로 주제 전문가로서 의견을 구하고 양자 통신이 이루어지는 당사자입니다.
-
I: 정보 당사자. 종종 작업 또는 결과물 완료 시에만 진행 상황에 대한 정보를 받는 당사자입니다.
| 활동 | Customer | AWS Managed Services(AMS) |
|---|---|---|
| 사전 조건 | ||
| 오프보딩할 각 AWS 계정 ID의 루트 이메일 주소에 대한 액세스 확인 | R | C |
| 권장 고객 작업에 대한 AMS 설명서 검토 및 AMS 오프보딩을 위한 계정 준비 | R | C |
| 필요한 경우 RFC를 제출하여 개발자 모드가 AMS 오프보딩을 위한 계정을 준비할 수 있도록 합니다. | R | 정보 |
| 필요한 경우 EC2 스택 액세스를 위한 대체 방법을 선택합니다. | R | 정보 |
| 오프보딩 | ||
| RFCs 제출하여 애플리케이션 계정의 오프보딩 확인 및 요청 | R | 정보 |
| 애플리케이션 계정에서 AMS 구성 요소 오프보드 | 정보 | R |
| AMS CSDM에 오프보딩된 계정 알림으로 AMS 결제 중지 | R | 정보 |
| 오프보딩 후 | ||
| 루트 사용자 계정 암호 재설정 및 오프보드된 계정의 루트 액세스 확인 | R | C |
| 계정을 닫거나 AMS 오프보딩 설명서의 권장 고객 작업에 대한 AMS 지침에 따라 계정을 계속 운영합니다. | R | C |
코어 계정 오프보드
다중 계정 랜딩 존 코어 계정을 오프보딩하려면 다음 단계를 완료하세요.
랜딩 존의 모든 애플리케이션 계정이 AMS에서 오프보딩되었는지 확인합니다.
계정에 열려 있는 RFCs가 없는지 확인합니다. 자세한 내용은 RFCs 생성, 복제, 업데이트, 찾기 및 취소 단원을 참조하십시오.
모든 코어 계정의 기본 또는 루트 사용자 이메일 주소에 액세스할 수 있는지 확인합니다. 자세한 내용은 다중 계정 랜딩 존 계정 단원을 참조하십시오.
관리 계정의 기본 또는 루트 사용자 전화번호에 액세스할 수 있는지 확인합니다.
AWSManagedServicesBillingRoleIAM 역할을 사용하여 전화번호를 업데이트합니다. 자세한 내용은 내 계정과 연결된 전화번호를 업데이트하려면 어떻게 해야 하나요?를 참조하세요 AWS. AMS 랜딩 존 관리 계정에 로그인하고 AMS 서비스 요청을 제출합니다. 서비스 요청에서 전체 랜딩 존을 오프보드하도록를 지정합니다.
코어 계정이 오프보딩된 후 다음이 발생합니다.
-
모든 구성 요소는 AMS 서비스에서 연결 해제되지만 일부 AWS 리소스는 계정에 남아 있습니다. AMS 오프보딩된 코어 계정을 유지하거나 닫도록 선택할 수 있습니다.
-
AMS 결제는 중지되지만 계정을 해지할 때까지 AWS 결제는 중지되지 않습니다. 자세한 내용은 계정을 해지하기 전에 알아야 할 사항을 참조하세요.
-
계정이 해지되면 90일 동안 조직에
suspended상태가 표시됩니다. 90일이 지나면 해지된 멤버 계정이 영구적으로 제거되고 조직에 더 이상 표시되지 않습니다. -
계정이 해지된 후에도 90일 지원 동안 로그인하여 지원 사례 또는 연락처를 제출할 수 있습니다.
-
계정이 90일 동안 해지되면 계정에 남아 있는 모든 콘텐츠가 영구적으로 삭제되고 나머지 AWS 서비스가 종료됩니다.
- Q: 페더레이션 IAM 역할을 사용하여 오프보딩된 코어 계정에 계속 액세스할 수 있나요?
예. AMS에서 생성한 기본 AWS Identity and Access Management (IAM) 역할은 오프보딩된 계정에서 계속 사용할 수 있습니다. 그러나 이러한 역할 및 정책은 AMS 액세스 관리와 함께 사용하도록 설계되었습니다. 사용자에게 필요한 액세스 권한을 제공하려면 자체 IAM 리소스를 배포해야 할 수 있습니다.
- Q: AMS 다중 계정 랜딩 존에서 오프보딩한 후 관리, 공유 서비스, 네트워킹 또는 기타 비애플리케이션 MALZ 계정에 대한 전체 액세스 권한을 얻으려면 어떻게 해야 합니까?
오프보딩 후 분실하거나 잊어버린 루트 사용자 암호 재설정의 지침에 따라 기본(루트) 사용자 자격 증명을 사용하여 관리 계정 이외의 코어 계정에 액세스합니다. 다른 계정 유형과 달리 관리 계정은 사용을 방지하기 위해 루트 사용자와 연결된 액세스할 수 없는 다중 인증(MFA) 디바이스를 유지합니다. 루트 액세스를 다시 얻으려면 손실된 MFA 디바이스 복구 프로세스를
따라야 합니다. - Q: 코어 계정 오프보딩 중에 어떤 변경 사항이 적용되나요?
서비스가 계정을 오프보드할 때 AMS가 수행하는 작업에 대한 자세한 내용은 섹션을 참조하세요오프보딩 변경 사항.
- Q: 코어 계정 오프보딩을 완료하는 데 얼마나 걸리나요?
코어 계정 오프보딩 프로세스는 일반적으로 완료하는 데 최대 30일이 걸립니다. 그러나 필요한 모든 단계를 올바르게 완료하려면 오프보딩이 시작되기 최소 7일 전에 오프보딩 요청을 시작해야 합니다. 쉽게 전환할 수 있도록 미리 계획을 세우고 오프보딩 요청을 미리 제출하세요.
- Q: AMS 오프보딩 후 공유 구성 요소를 관리하려면 어떻게 해야 합니까?
AMS Managed Active Directory 및 기타 공유 서비스 인프라 구성 요소는 AMS 운영자 액세스를 위해 설계되었습니다. Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹, AWS Organizations 서비스 제어 정책(SCP)을 업데이트하거나 이러한 구성 요소에 대한 전체 액세스를 유지하기 위해 다른 변경을 수행해야 할 수 있습니다.
- Q: 오프보딩된 코어 계정을 해지할 수 있나요?
기본적으로 애플리케이션 계정에는 AWS Organizations 멤버십, 전송 게이트웨이 네트워크 연결, AMS Managed Active Directory를 통한 DNS 확인 등 MALZ Core 계정에 대한 여러 종속성이 있습니다. 이러한 종속성을 해결한 후 서비스 해제하고 오프보드된 코어 계정을 해지할 수 있습니다. 자세한 내용은 다중 계정 랜딩 존 계정 단원을 참조하십시오.
-
R: 책임 당사자. 나열된 작업을 완료할 책임이 있는 당사자입니다.
-
A: 책임 당사자. 완료된 작업을 승인하는 당사자입니다.
-
C: 상담 당사자. 일반적으로 주제 전문가로서 의견을 구하고 양자 통신이 이루어지는 당사자입니다.
-
I: 정보 당사자. 종종 작업 또는 결과물 완료 시에만 진행 상황에 대한 정보를 받는 당사자입니다.
| 활동 | Customer | AWS Managed Services(AMS) |
|---|---|---|
| 사전 조건 | ||
| 오프보딩할 각 AWS 계정 ID의 루트 이메일 주소에 대한 액세스 확인 | R | C |
| 관리 계정에 대한 액세스 확인 및 루트 사용자 전화번호 업데이트 | R | C |
| 권장 고객 작업에 대한 AMS 설명서 검토 및 AMS 오프보딩을 위한 계정 준비 | R | C |
| 오프보딩 | ||
| 서비스 요청을 제출하여 랜딩 존 오프보딩 요청 | R | 정보 |
| 코어 계정에서 AMS 구성 요소 오프보드 | 정보 | R |
| 오프보딩 후 | ||
| 루트 사용자 계정 암호 재설정 및 오프보드된 계정의 루트 액세스 확인 | R | C |
| 계정을 계속 운영하려면 AMS 오프보딩 설명서의 권장 고객 작업에 대한 AMS 지침을 따르거나 계정을 닫습니다. | R | C |
오프보딩 변경 사항
다음 표에서는 AMS가 다중 계정 랜딩 존 오프보딩, 잠재적 영향 및 권장 작업에 대해 수행하는 작업을 설명합니다.
| 구성 요소 | 계정 유형 | 오프보딩을 위해 취한 조치 | 잠재적 영향 | 권장 고객 작업 |
|---|---|---|---|---|
| 액세스 관리 | 애플리케이션 계정 |
오프보딩 후 AMS 접속 호스트를 통해 EC2 스택에 액세스RFCs를 더 이상 제출할 수 없습니다. just-in-time AMS는 더 이상 기존 EC2 리소스 스택(PBIS Open 에이전트, 도메인 조인 스크립트)에서 액세스 관련 구성 요소를 관리하지 않습니다. |
RFS를 통해 AMS 접속을 사용하여 EC2 인스턴스에 액세스할 수 없음 비 AMS 제공 AMIs에서 시작된 EC2 인스턴스가 Managed Active Directory 도메인에 조인되지 않음 제거하지 않으면 기존 리소스 스택의 AMS 시작 스크립트에서 AMS 종속성이 누락되어 오류가 발생하여 다른 도메인에 다시 가입하지 못할 수 있습니다. |
대체 방법을 사용하여 EC2 인스턴스에 액세스( 참조대체 액세스) 기존 EC2 리소스 스택에서 AMS 시작 스크립트 제거( 참조AMS EC2 시작 스크립트 비활성화) |
| 액세스 관리(계속) | 코어 계정 | PBIS Open에서 PBIS Enterprise(AD Bridge)로 마이그레이션한 경우 AMS는 코어 계정 오프보딩 후 더 이상 라이선스를 갱신하지 않습니다. | PBIS Enterprise 라이선스가 만료되도록 허용된 경우 Active Directory 자격 증명은 기존 Linux 기반 EC2 인스턴스 스택에 유효하지 않습니다. | PBIS Enterprise(AD Bridge)로 마이그레이션한 경우 라이선스 유지 또는 폐기 여부를 결정합니다( 참조PBIS Open/Enterprise(AD 브리지)). |
| 로깅, 모니터링, 인시던트/이벤트 관리 | 애플리케이션 및 코어 계정 |
배포할 AMS 구성 요소가 제거AMS의 기준 모니터링 알림됩니다. 기존에 배포된 Amazon CloudWatch 경보는 남아 있지만 더 이상 AMS 인시던트를 생성하지 않습니다. AWS Config AMS 및 MALZ Core 보안 계정의 집계 권한 부여가 제거됨 AWS Config 규칙은 배포된 상태로 유지되고 Amazon GuardDuty는 활성화된 상태로 유지되지만 더 이상 AMS 인시던트를 생성하지 않습니다. |
새로 생성된 리소스에는 AMS 기준 모니터링 및 경보가 적용되지 않습니다. 인프라 지표 경보 및 보안 이벤트로 인해 더 이상 AMS 인시던트가 발생하지 않음 AWS Config 는 더 이상 중앙 계정에 집계되지 않습니다. |
작업 지표를 정의, 캡처 및 분석하여 워크로드 이벤트를 보고 적절한 조치를 취합니다. 필요한 알림 워크플로를 구현하여 새 리소스에 필요한 운영 모니터링 및 경보를 계속 적용하고 AWS Config 및 Amazon GuardDuty에 구현합니다. |
| 연속성 관리(백업 및 복원) | 애플리케이션 계정 |
AMS가 더 이상 백업 작업을 모니터링하거나 백업 및 복원 요청을 수행하지 않음 AMS 기본 백업 볼트, 백업 암호화 키 및 백업 역할이 남아 있음 |
백업 작업 실패가 발견되지 않을 수 있습니다. | 백업 계획 구성 모니터링 및 검토 |
| 패치 관리 | 애플리케이션 및 코어 계정 |
AMS가 더 이상 성공적인 실행을 위해 패치 작업을 모니터링하거나 수동 패치 작업을 수행하지 않음 AMS가 더 이상 AMS 인프라 구성 요소를 업데이트하지 않음 AMS 제공 패치 기준은 유지됩니다. AMS 제공 AWS Systems Manager 패치 자동화 실행서는 공유되지 않으며 더 이상 사용할 수 없습니다. |
패치 작업 실패가 발견되지 않을 수 있습니다. AMS 제공 Systems Manager Automation 런북에 의존하는 기존 패치 구성은 중단 없이 계속되도록 재구성해야 합니다. |
필요에 따라 패치 구성 검토 및 재구성 |
| 네트워크 관리 | 애플리케이션 계정 | 지정된 경우 오프보딩된 애플리케이션 계정의 전송 게이트웨이 연결이 제거됩니다. | 오프보딩된 애플리케이션 계정은 더 이상 전송 게이트웨이를 사용하여 Managed Active Directory 또는 기타 애플리케이션 계정과 같은 공유 서비스에 액세스할 수 없습니다. | 전송 게이트웨이 연결을 유지False하려면 DeleteTransitGatewayAttachment 로 지정 |
| 보안 관리 | 애플리케이션 계정 |
계정이 중앙 Trend Micro 콘솔에서 분리됩니다. 또한 엔드포인트 에이전트는 더 이상 AMS 인시던트 프로세스를 통해 알림을 전달하지 않습니다. Trend Micro 에이전트는 설치된 상태로 유지되지만 AMS에서 더 이상 관리하거나 업데이트하지 않습니다. Trend Micro 에이전트를 배포하는 AMS 제공 AMI 사용자 지정은 더 이상 AMS에서 유지 관리하거나 업데이트하지 않습니다. |
EC2 인스턴스 엔드포인트 맬웨어 탐지가 눈에 띄지 않을 수 있음 Trend 마이크로 에이전트는 AMS에서 제공하지 않는 AMI에서 시작된 EC2 인스턴스에 배포되지 않습니다. AMIs |
Trend Micro를 계속하거나 중단하기 위한 옵션 고려( 참조Trend Micro Deep Security) |
| 보안 관리(계속) | 코어 계정 |
Trend Micro SQL 인프라는 공유 서비스 계정 내에 남아 있지만 AMS에서 더 이상 유지 관리하거나 업데이트하지 않습니다. Trend Micro"는 더 이상 AMS 인시던트 프로세스를 통해 알림을 전달하지 않습니다. |
EC2 인스턴스 엔드포인트 멀웨어 탐지는 눈에 띄지 않을 수 있습니다. 인프라가 유지 관리되지 않는 경우(정의 업데이트, 라이선스 등) EC2 인스턴스 엔드포인트 보호가 영향을 받을 수 있습니다. |
Trend Micro를 계속할지 또는 중단할지 결정( 참조Trend Micro Deep Security) |
| 변경 관리 | 애플리케이션 및 코어 계정 |
AMS RFC 콘솔 및 API가 제거됨 계정 수준 액세스 제한이 포함된 AMS 사용자 지정 서비스 제어 정책(SCPs)은 애플리케이션 계정 오프보딩 중에 분리되고 코어 계정 오프보딩 중에 삭제됩니다. |
기본 AWS API를 사용하여 새 리소스를 생성하거나, 기존 리소스를 변경하거나, 기존 CloudFormation 스택을 업데이트해야 합니다. AMS 제공 SCPs를 통해 계정 수준에서 액세스 제한이 더 이상 적용되지 않음 |
사용자 역할이 AWS 서비스를 사용하기에 충분한 액세스 권한을 제공하는지 확인합니다. SCPs 생성하여 계정 수준 권한 제한 제공 |
| 서비스 관리를 위한 AMS OS 이미지 및 자동화 | 애플리케이션 및 코어 계정 |
AMS는 더 이상 AMS 제공 EC2 AMIs AMS 제공 EC2 AMIs 오프보딩된 계정에서 계속 사용할 수 있습니다. AMS 제공 Systems Manager Automation 실행서는 공유되지 않으며 더 이상 사용할 수 없습니다. |
오프보딩 후 AMS는 AMS 구성 요소에 대한 종속성이 누락 AMS 제공 Systems Manager Automation 런북에 의존하는 운영 프로세스가 실패할 수 있습니다. |
AMS 제공 AMIs 또는 Systems Manager Automation 런북에 의존하는 빌드 또는 운영 프로세스 검토 및 업데이트 |
| 공유 서비스 인프라 | 코어 계정 | AMS 액세스가 제거되고 AMS가 더 이상 AMS Managed Active Directory를 포함한 공유 구성 요소를 관리하지 않습니다 AWS Transit Gateway. AWS Organizations | 공유 인프라에 대한 관리 손실 | AMS Managed Active Directory에 대한 관리자 액세스 재설정 및 공유 서비스 구성 요소 관리 수임 |
| 보고 | 애플리케이션 및 코어 계정 | AMS는 집계 보고를 위해 더 이상 계정 또는 리소스 수준 세부 정보를 수집하지 않습니다. | 운영 및 비즈니스 지표(백업 및 패치 적용 범위, 변경 관리, 인시던트 활동)에 대한 인사이트 손실 | 계정 간 필요한 집계 데이터 보고를 자체 솔루션으로 대체 |
| AMS 계정 팀 및 서비스 데스크 | 애플리케이션 및 코어 계정 | AMS 계정 팀(CSDM, CA) 및 AMS 운영 서비스 데스크가 더 이상 오프보딩된 계정을 지원하지 않음 | AMS에서 설계한 다중 계정 랜딩 존 아키텍처 및 관련 구성 요소에 대한 전문 지식으로 운영 지원 손실 | 환경에서 작업을 지원하기에 충분한 인력과 계정 구조 및 리소스에 대한 지식이 있는지 확인합니다. |
대체 액세스
다음은 AMS 계정을 오프보드한 후 EC2 스택에 대한 액세스를 유지하는 대체 방법입니다.
세션 관리자를 사용하면 접속이나 인바운드 네트워크 액세스 없이 권한이 상승된 EC2 인스턴스에 액세스할 수 있습니다. 자세한 내용은 AWS Systems Manager Session Manager 단원을 참조하십시오.
새 도메인 자격 증명을 사용하여 EC2 인스턴스를 다른 Active Directory 도메인에 다시 조인합니다. 를 사용하는 경우 디렉터리에 EC2 인스턴스 조인을 Directory Service참조하세요. EC2 AWS Managed Microsoft AD
다른 액세스 방법 중 하나 또는 AWS Systems Manager Run Command를 통해 생성한 로컬 사용자 계정을 사용합니다.
AMS EC2 시작 스크립트 비활성화
Linux 운영 체제
배포의 패키지 관리자를 사용하여 ams-modules 패키지를 제거합니다. 예를 들어 Amazon Linux 2의 경우를 사용합니다yum remove ams-modules.
Windows 운영 체제
Windows에서 EC2 시작 스크립트를 비활성화하려면 다음 단계를 완료하세요.
Windows Server 2008/2012/2012r2/2016/2019:
작업 스케줄러에서 관리형 서비스 시작 예약 작업을 비활성화하거나 제거합니다. 예약된 작업을 나열하려면
Get-ScheduledTask -TaskName '*Ec2*'명령을 실행합니다.Windows Server 2022:
EC2Launch v2 작업을 제거합니다. 이 작업은 인스턴스의 C:\ProgramData\Amazon\EC2Launch\config\agent-config.yml
Initialize-AMSBoot에서postReady단계에서 실행됩니다. 다음은 예제의 코드 조각입니다agent-config.yml.{ "task": "executeScript", "inputs": [ { "frequency": "always", "type": "powershell", "runAs": "localSystem" } ] }(선택 사항) 다음 파일 콘텐츠를 제거합니다.
C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.* C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*
PBIS Open/Enterprise(AD 브리지)
PBIS Open 또는 PBIS Enterprise(AD Bridge) 에디션을 사용하는지 확인하려면 Linux EC2 관리형 인스턴스에서 다음 명령을 실행합니다.
yum info | grep pbis
다음은 PBIS Enterprise(AD Bridge)를 보여주는 출력 예제입니다.
Name : pbis-enterprise From repo : pbise Name : pbis-enterprise-devel Repo : pbise Description : The pbis-enterprise-devel package includes the development
PBIS 열기
PBIS Open은 BeyondTrust가 더 이상 지원하지 않는 더 이상 사용되지 않는 제품입니다. 자세한 내용은 BeyondTrust pbis-open 설명서를
AD 브리지(PBIS Enterprise)
다음 중 하나를 수행할 수 있습니다.
라이선스를 갱신하고 AD Bridge를 계속 운영합니다. 라이선싱 및 지원에 대해 알아보려면 BeyondTrust에 문의하세요.
AD 브리지 사용을 중단합니다. 다음 Shell 명령을 실행하여 Linux 관리형 인스턴스에서 PBIS-Enterprise 패키지를 제거합니다. 자세한 내용은 BeyondTrust 설명서에서 도메인 나가기 및 AD Bridge 에이전트 제거를 참조하세요
. $ sudo /opt/pbis/bin/uninstall.sh purge
PBIS 에이전트를 제거하지 않고 AMS 관리형 Active Directory 도메인을 그대로 둡니다.
PBIS 에이전트를 제거하지 않고 AMS 관리형 Active Directory를 나갈 수 있습니다. 운영 체제에 따라 다음 솔루션 중 하나를 사용합니다.
Trend Micro Deep Security
다음 옵션 중 하나를 사용하여 Trend Micro Deep Security 사용을 계속하거나 중단합니다.
계속 사용
(전체 MALZ를 오프보딩하는 경우) 코어 계정 오프보딩 후 오프보딩된 애플리케이션 계정을 기존 Trend Micro Deep Security Manager(DSM)에 다시 연결하고 공유 서비스 계정의 라이선스를 유지합니다. 자세한 내용은 AWS 클라우드 계정 추가
및 라이선스 정보 확인을 참조하세요 . 공유 서비스 계정에 로그인하고 Secrets Manager 콘솔로 이동합니다.
/ams/eps/경로에 저장된 콘솔 관리자 자격 증명을 검색합니다.https://dsm.sentinel.int
콘솔에 로그인합니다. 교차 계정 역할 사용을 선택한 다음를 입력합니다
arn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role. ACCOUNTID를 오프보드된 애플리케이션 계정 ID로 바꿉니다.다음을 선택합니다.
몇 분 정도 기다렸다가 계정 검색을 처리하고 동기화가 성공했음을 표시합니다.
오프보드된 애플리케이션 계정을 새 Trend Micro" 설치에 다시 연결합니다. 자세한 내용은 에이전트 활성화 및 보호
와 에이전트 활성화를 참조하세요. 오프보드된 애플리케이션 계정을 Trend Micro Cloud One에 다시 연결합니다. 자세한 내용은 Deep Security에서 워크로드 보안으로 마이그레이션
및 온프레미스에서 마이그레이션을 참조하세요 .
사용 중단
오프보드된 애플리케이션 계정에서 Trend Micro Deep Security Agents를 제거합니다. 자세한 내용은 Deep Security 제거
를 참조하세요.
