Extraia as contas multicontas da landing zone do AMS - Guia do usuário avançado do AMS
Tarefas para operação contínua de contas externasContas externas do aplicativoContas principais externasMudanças de desembarqueAlternativas de acessoDesativar scripts de EC2 inicialização do AMSPBIS Open/Enterprise (Ponte AD)Trend Micro Deep Security

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Extraia as contas multicontas da landing zone do AMS

Há dois tipos de AWS contas que você pode excluir da landing zone multiconta do AMS Advanced:

  • Contas de aplicativos

  • Contas principais

Para desativar todas as contas da sua landing zone multiconta do AMS, você deve desativar todas as contas do Aplicativo antes de desativar as contas principais.

Para assumir e continuar operando cargas de trabalho em contas externas de aplicativos ou contas principais, certifique-se de revisar esta documentação com sua equipe de contas do AMS. Esta documentação descreve as mudanças que o AMS realiza durante o processo externo.

Tarefas a serem concluídas para operação contínua de contas externas

As tarefas a seguir são necessárias para a operação contínua das contas que você retirou da landing zone de várias contas do AMS:

  • Ative o modo Desenvolvedor: para obter mais permissões para suas contas, ative o modo Desenvolvedor antes de desvincular as contas de aplicativos do AMS. Ao ativar o modo Desenvolvedor, você pode fazer as alterações necessárias com mais facilidade para se preparar para a desativação. Não tente remover ou modificar os recursos da infraestrutura do AMS. Se você excluir recursos de infraestrutura do AMS, talvez o AMS não consiga desvincular sua conta com sucesso. Para obter informações sobre como ativar o modo Desenvolvedor, consulteIntrodução ao modo AMS Advanced Developer.

    Se você não conseguir concluir as alterações necessárias para se preparar para a desativação depois de ativar o modo Desenvolvedor, entre em contato com a equipe da sua conta do AMS para discutir seus requisitos.

  • Escolha um método alternativo para acesso à EC2 pilha: depois de retirar as contas de aplicativos do AMS, você não poderá usar RFCs para acessar os recursos da pilha. Mudanças de desembarqueRevise e escolha um método de acesso alternativo para manter o acesso às suas pilhas. Para obter mais informações, consulte Alternativas de acesso.

Contas externas do aplicativo AMS

Para remover contas de aplicativos do seu ambiente de landing zone com várias contas, conclua as seguintes etapas para cada conta:

  1. Verifique se não há nenhuma abertura RFCs na conta. Para obter mais informações, consulte Crie, clone, atualize, encontre e cancele RFCs.

  2. Verifique se você pode acessar o endereço de e-mail do usuário principal ou raiz da conta.

  3. Na conta do aplicativo, envie um RFC com a conta do aplicativo | Confirme o tipo de alteração de desligamento (ct-2wlfo2jxj2rkj). No RFC, especifique a conta do aplicativo a ser desativada.

  4. Na conta de gerenciamento, envie um RFC com o tipo de alteração Conta de gerenciamento | Conta de aplicativo externo (ct-0vdiy51oyrhhm). No RFC, especifique a conta do aplicativo a ser desativada. Além disso, indique se você deseja excluir ou reter o anexo do Transit Gateway na landing zone.

  5. Para garantir que o faturamento do AMS seja interrompido, notifique seu CSDM de que você desembarcou a conta.

O seguinte ocorre após a desativação da conta do aplicativo:

  • Todos os componentes são desassociados dos serviços do AMS, mas seus recursos criados permanecem na conta. Você pode optar por manter ou fechar a conta externa do AMS.

  • As contas principais e outras contas de aplicativo restantes funcionam normalmente após a desativação de uma conta de aplicativo.

  • O faturamento do AMS é interrompido, mas o AWS faturamento não é interrompido até que você feche a conta. Para obter mais informações, consulte O que você precisa saber antes de fechar sua conta.

  • Se uma conta for fechada, ela ficará visível em sua organização no suspended estado por 90 dias. Depois de 90 dias, a conta fechada é removida permanentemente e não é mais visível em sua organização.

  • Depois que a conta for encerrada, você ainda poderá entrar e registrar um caso de suporte ou contato Suporte por 90 dias.

  • Após 90 dias, qualquer conteúdo que permaneça na conta será excluído permanentemente e os AWS serviços restantes serão encerrados.

P: Posso usar minhas funções federadas do IAM para continuar acessando uma conta de aplicativo que eu removi da minha landing zone multiconta do AMS?

Sim. As funções padrão criadas pelo AMS AWS Identity and Access Management (IAM) permanecem disponíveis na conta após a desativação do AMS. No entanto, essas funções e políticas foram projetadas para uso com o gerenciamento de acesso do AMS. Para fornecer o acesso necessário aos seus usuários, talvez seja necessário implantar seus próprios recursos do IAM.

P: Como faço para obter acesso total a uma conta do aplicativo que eu removi da minha landing zone com várias contas do AMS?

As contas de aplicativos externos são movidas para a Unidade Organizacional (OU) obsoleta na estrutura da conta. AWS Organizations Essa mudança elimina as restrições de acesso ao SCP que anteriormente bloqueavam o acesso do usuário root. Para obter informações sobre como redefinir as credenciais do usuário raiz, consulte Redefinir uma senha de usuário raiz perdida ou esquecida.

P: Quais alterações são feitas durante a desativação da conta do aplicativo?

Para obter informações sobre as ações que o AMS executa quando o serviço exclui contas, consulteMudanças de desembarque.

P: Posso desativar uma conta de aplicativo sem desconectá-la do gateway de trânsito?

Sim. Use o tipo de alteração Conta de gerenciamento | Conta de aplicativo externo (ct-0vdiy51oyrhhm) para enviar a RFC e especifique o parâmetro como. DeleteTransitGatewayAttachment False

P: Quanto tempo é necessário para desativar uma conta do aplicativo?

Ao usar o tipo de alteração da Conta de gerenciamento | Conta de aplicativo externo (ct-0vdiy51oyrhhm), conclua em 1 hora. RFCs

P: É obrigatório que eu feche a conta externa?

Não. O encerramento da conta após a desativação do AMS não é obrigatório. Durante o processo de desligamento, o AMS remove o acesso e o gerenciamento de sua AWS conta, mas sua conta e seus recursos dentro da conta permanecem. É importante observar que, após a desativação do AMS, você é o único responsável por gerenciar e manter sua AWS conta e seus recursos. O AMS não é responsável por quaisquer problemas, incidentes ou interrupções no serviço que possam ocorrer em sua conta após a conclusão do processo de desligamento. Para obter mais informações, consulte Como faço para fechar minha AWS conta? .

P: Se eu enviar uma solicitação de encerramento de conta, todos os recursos existentes serão excluídos imediatamente?

Não. O encerramento da conta não encerra seus recursos. Os recursos na conta são encerrados automaticamente 90 dias após a solicitação de encerramento. O faturamento do AMS é interrompido, mas o faturamento por AWS recursos não para até você fechar a conta. Para obter mais informações, consulte O que você precisa saber antes de fechar sua conta.

P: Posso agendar a desativação de uma conta do aplicativo?

Sim. Você pode RFCs programar o para ser executado em um horário específico. No entanto, a conta do aplicativo | Confirmar desativação da RFC deve ser concluída antes que você possa agendar a conta de gerenciamento | RFC da conta de aplicativo externa. Para obter mais informações, consulte Programação de RFC.

  • R: Parte responsável. A parte responsável por concluir a tarefa listada.

  • R: Parte responsável. A parte que aprova a tarefa concluída.

  • C: Parte consultada. Uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto, e com quem há comunicação bilateral.

  • I: Parte informada. Uma parte que é informada sobre o progresso, geralmente somente após a conclusão da tarefa ou do resultado final.

Atividades Cliente AWS Managed Services (AMS)
Pré-requisitos
Verifique o acesso ao endereço de e-mail raiz para cada ID de AWS conta que será removida R C
Analise a documentação do AMS sobre as ações recomendadas do cliente e prepare as contas para a desativação do AMS R C
Se necessário, envie um RFC para ativar o modo Desenvolvedor para preparar contas para desativação do AMS R eu
Se necessário, escolha um método alternativo para acesso à EC2 pilha. R eu
Desembarque
Enviar RFCs para confirmar e solicitar a exclusão das contas do Aplicativo R eu
Remova os componentes do AMS das contas de aplicativos eu R
Notifique o AMS CSDM sobre contas removidas para interromper o faturamento do AMS R eu
Pós-desembarque
Redefina a senha da conta de usuário raiz e verifique o acesso root em contas externas R C
Feche a conta ou siga as orientações do AMS sobre as ações recomendadas do cliente na documentação de desligamento do AMS para continuar operando as contas. R C

Contas principais externas

Para desativar contas principais do landing zone com várias contas, conclua as seguintes etapas:

  1. Verifique se todas as contas do aplicativo na landing zone foram removidas do AMS.

  2. Verifique se você não tem contas abertas RFCs . Para obter mais informações, consulte Crie, clone, atualize, encontre e cancele RFCs.

  3. Verifique se você pode acessar o endereço de e-mail do usuário principal ou raiz de todas as contas principais. Para obter mais informações, consulte Contas de várias contas da Landing Zone.

  4. Verifique se você pode acessar o número de telefone do usuário principal ou raiz da conta de gerenciamento. Use a função AWSManagedServicesBillingRole do IAM para atualizar o número de telefone. Para obter mais informações, consulte Como faço para atualizar meu número de telefone associado à minha AWS conta? .

  5. Faça login na sua conta de gerenciamento da zona de pouso do AMS e envie uma solicitação de serviço do AMS. Na solicitação de serviço, especifique desembarcar toda a sua landing zone.

O seguinte ocorre após a desativação das contas principais:

  • Todos os componentes estão desassociados dos serviços do AMS, mas alguns AWS recursos permanecem na conta. Você pode optar por manter ou fechar as contas principais externas do AMS.

  • O faturamento do AMS é interrompido, mas o AWS faturamento não é interrompido até que você feche a conta. Para obter mais informações, consulte O que você precisa saber antes de fechar sua conta.

  • Se uma conta for fechada, ela ficará visível em sua organização no suspended estado por 90 dias. Após 90 dias, a conta fechada do membro será removida permanentemente e não estará mais visível em sua organização.

  • Depois que a conta for encerrada, você ainda poderá entrar e registrar um caso de suporte ou contato Suporte por 90 dias.

  • Depois que a conta for fechada por 90 dias, qualquer conteúdo que permaneça na conta será excluído permanentemente e os AWS serviços restantes serão encerrados.

P: Posso usar minhas funções federadas do IAM para continuar acessando as contas principais externas?

Sim. As funções padrão criadas pelo AMS AWS Identity and Access Management (IAM) permanecem disponíveis na conta externa. No entanto, essas funções e políticas foram projetadas para uso com o gerenciamento de acesso do AMS. Para fornecer o acesso necessário aos seus usuários, talvez seja necessário implantar seus próprios recursos do IAM.

P: Como faço para obter acesso total à conta MALZ de gerenciamento, serviços compartilhados, rede ou outra conta MALZ que não seja do aplicativo após sair da landing zone de várias contas do AMS?

Após a desativação, siga as instruções em Redefinir uma senha de usuário raiz perdida ou esquecida para usar as credenciais do usuário principal (raiz) para acessar contas principais que não sejam a conta de gerenciamento. Ao contrário de outros tipos de conta, a conta de gerenciamento mantém um dispositivo de autenticação multifator (MFA) inacessível que está associado ao usuário raiz para evitar o uso. Para recuperar o acesso root, você deve seguir o processo de recuperação do dispositivo de MFA perdido.

P: Quais mudanças são feitas durante a desativação da conta principal?

Para obter informações sobre as ações que o AMS executa quando o serviço exclui contas, consulteMudanças de desembarque.

P: Quanto tempo leva para ser concluída a desativação da conta principal?

O processo de desativação da conta principal normalmente leva até 30 dias para ser concluído. No entanto, para garantir que todas as etapas necessárias sejam concluídas corretamente, você deve iniciar a solicitação de desligamento pelo menos 7 dias antes do início do desligamento. Para facilitar uma transição fácil, planeje com antecedência e envie sua solicitação de saída com antecedência.

P: Como faço para gerenciar componentes compartilhados após a desativação do AMS?

O AMS Managed Active Directory e outros componentes de infraestrutura de serviços compartilhados foram projetados para acesso do operador do AMS. Talvez seja necessário atualizar os grupos de segurança, a política de controle de AWS Organizations serviços (SCP EC2) da Amazon Elastic Compute Cloud (Amazon) ou fazer outras alterações para manter o acesso total a esses componentes.

P: Posso fechar contas principais externas?

Por padrão, as contas de aplicativos têm várias dependências nas contas MALZ Core, como AWS Organizations associação, conectividade de rede de gateway de trânsito e resolução de DNS por meio do AMS Managed Active Directory. Depois de resolver essas dependências, você pode descomissionar e fechar a conta Core externa. Para obter mais informações, consulte Contas de várias contas da Landing Zone.

  • R: Parte responsável. A parte responsável por concluir a tarefa listada.

  • R: Parte responsável. A parte que aprova a tarefa concluída.

  • C: Parte consultada. Uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto, e com quem há comunicação bilateral.

  • I: Parte informada. Uma parte que é informada sobre o progresso, geralmente somente após a conclusão da tarefa ou do resultado final.

Atividades Cliente AWS Managed Services (AMS)
Pré-requisitos
Verifique o acesso ao endereço de e-mail raiz para cada ID de conta da AWS que será removida R C
Verifique o acesso e atualize o número de telefone do usuário raiz da conta de gerenciamento R C
Analise a documentação do AMS sobre as ações recomendadas do cliente e prepare as contas para a desativação do AMS R C
Desembarque
Envie uma solicitação de serviço para solicitar o desembarque da landing zone R eu
Componentes AMS externos das contas principais eu R
Pós-desembarque
Redefina a senha da conta de usuário raiz e verifique o acesso root em contas externas R C
Feche as contas ou siga as orientações da AMS sobre as ações recomendadas do cliente na documentação de desligamento da AMS para continuar operando as contas. R C

Mudanças de desembarque

A tabela a seguir descreve as ações que o AMS toma para desembarcar na landing zone de várias contas, os impactos potenciais e as ações recomendadas.

Componente Account type (Tipo de conta) Ações tomadas para desembarcar Impactos potenciais Ação recomendada pelo cliente
Gerenciamento de acesso Contas de aplicativos

Após a desativação, o acesso à pilha RFCs para just-in-time acesso com limite de tempo não pode mais ser enviado às EC2 pilhas de acesso por meio de hosts do AMS Bastion

O AMS não gerencia mais componentes relacionados ao acesso em nenhuma pilha de EC2 recursos existente (agente aberto do PBIS, scripts de junção de domínio)

Não é possível usar o AMS Bastions por meio do RFS para acessar instâncias EC2

EC2 instâncias iniciadas a partir de dados que não sejam do AMS AMIs não estão associadas ao domínio gerenciado do Active Directory

Se não forem removidos, os scripts de inicialização do AMS nas pilhas de recursos existentes podem produzir erros devido à falta de dependências do AMS e impedir a adesão a um domínio diferente.

Use métodos alternativos para acessar a EC2 instância (consulteAlternativas de acesso)

Remova os scripts de inicialização do AMS das pilhas de EC2 recursos existentes (consulteDesativar scripts de EC2 inicialização do AMS)

Gerenciamento de acesso (continuação) Contas principais Se você migrou do PBIS Open para o PBIS Enterprise (AD Bridge), o AMS não renova mais o licenciamento após a desativação da conta principal Se a licença do PBIS Enterprise puder expirar, as credenciais do Active Directory não serão válidas para as pilhas de instâncias existentes baseadas em Linux EC2 Se você migrou para o PBIS Enterprise (AD Bridge), decida se deseja manter o licenciamento ou descomissionar (consulte) PBIS Open/Enterprise (Ponte AD)
Registro, monitoramento e Incident/Event gerenciamento Aplicativos e contas principais

Os componentes do AMS a Alertas do monitoramento de linha de base no AMS serem implantados são removidos

Os CloudWatch alarmes existentes da Amazon implantados permanecem, mas não criam mais incidentes de AMS

AWS Config as autorizações de agregação do AMS e da conta de segurança MALZ Core são removidas

AWS Config as regras permanecem implantadas e a Amazon GuardDuty permanece habilitada, mas não cria mais incidentes de AMS

Recursos recém-criados não têm monitoramento de linha de base e alarmes do AMS aplicados

Alarmes métricos de infraestrutura e eventos de segurança não geram mais incidentes de AMS

AWS Config não está mais agregado em uma conta central

Defina, capture e analise métricas de operações para visualizar os eventos da carga de trabalho e tomar as medidas apropriadas.

Implemente qualquer fluxo de trabalho de alerta necessário para continuar aplicando o monitoramento operacional e os alarmes necessários em novos recursos e para receber alertas de segurança da AWS Config Amazon GuardDuty.

Gerenciamento de continuidade (backup e restauração) Contas de aplicativos

O AMS não monitora mais as tarefas de backup nem executa solicitações de backup e restauração

Os cofres de backup padrão do AMS, a chave de criptografia de backup e a função de backup permanecem

Falhas na operação de backup podem não ser notadas Monitore e revise as configurações do plano de backup
Gerenciamento de patches Aplicativos e contas principais

O AMS não monitora mais as operações de aplicação de patches para uma execução bem-sucedida nem executa correções manuais

O AMS não atualiza mais os componentes da infraestrutura do AMS

As linhas de base do patch fornecidas pelo AMS são mantidas

Os runbooks de automação de AWS Systems Manager patches fornecidos pelo AMS não são compartilhados e não estão mais disponíveis para uso

Falhas na operação de correção podem não ser notadas

As configurações de patch existentes que dependem dos runbooks do Systems Manager Automation fornecidos pelo AMS devem ser reconfiguradas para continuarem ininterruptas.

Revise e reconfigure as configurações de patches conforme necessário
Gerenciamento de rede Contas de aplicativos Se especificado, o anexo do gateway de trânsito na conta externa do aplicativo será removido A conta de aplicativo externo não pode mais usar um gateway de trânsito para acessar serviços compartilhados, como o Active Directory gerenciado ou outras contas de aplicativos Especifique DeleteTransitGatewayAttachment como False manter a conectividade do gateway de trânsito
Gerenciamento de segurança Contas de aplicativos

A conta é separada do console central do Trend Micro DSM. Além disso, os agentes de endpoint não encaminham mais alertas por meio do processo de incidentes do AMS

Os agentes da Trend Micro permanecem instalados, mas não são mais gerenciados ou atualizados pelo AMS

As personalizações de AMI fornecidas pela AMI que implantam o agente da Trend Micro não são mais mantidas ou atualizadas pelo AMS

EC2 detecções de malware em endpoints de instância podem não ser notadas

O agente Trend micro não é implantado em EC2 instâncias que são iniciadas de forma não fornecida pelo AMS AMIs

Considere as opções para continuar ou descontinuar a Trend Micro (consulteTrend Micro Deep Security)
Gerenciamento de segurança (continuação) Contas principais

A infraestrutura do Trend Micro DSM é mantida nas contas de Serviços Compartilhados, mas não é mais mantida ou atualizada pelo AMS

O Trend Micro DSM não encaminha mais alertas por meio do processo de incidentes do AMS

EC2 detecções de malware em endpoints de instância podem passar despercebidas

EC2 a proteção de endpoints da instância pode ser afetada se a infraestrutura não for mantida (atualizações de definições, licenciamento etc.)

Decida se deseja continuar ou descontinuar a Trend Micro (consulte (consulteTrend Micro Deep Security)
Gerenciamento de alterações Aplicativos e contas principais

O console RFC e a API do AMS foram removidos

As políticas de controle de serviço personalizadas do AMS (SCPs) que contêm restrições de acesso no nível da conta são desanexadas durante a desativação da conta do aplicativo e excluídas durante a desativação da conta principal

Você deve usar uma AWS API nativa para criar novos recursos, alterar recursos existentes ou atualizar CloudFormation pilhas existentes

As restrições de acesso não são mais impostas no nível da conta por meio do AMS fornecido SCPs

Certifique-se de que as funções de usuário forneçam acesso suficiente para usar AWS os serviços

Crie SCPs para fornecer restrições de permissão em nível de conta

Imagens e automações do AMS OS para gerenciamento de serviços Aplicativos e contas principais

O AMS não fornece mais suporte para personalizações e scripts de lançamento incluídos no AMS fornecido EC2 AMIs

Os AMS fornecidos EC2 AMIs permanecem disponíveis em suas contas externas

Os runbooks do Systems Manager Automation fornecidos pelo AMS não são compartilhados e não estão mais disponíveis para uso

Após a desativação, o AMS forneceu o AMIs sinal de CloudFormation envio cfn FAILURE devido à falta de dependências nos componentes do AMS

Os processos operacionais que dependem dos runbooks do Systems Manager Automation fornecidos pelo AMS podem falhar

Revise e atualize todos os processos operacionais ou de compilação que dependam do AMS fornecido AMIs ou dos runbooks do Systems Manager Automation
infraestrutura de serviços compartilhados Contas principais O acesso ao AMS foi removido e o AMS não gerencia mais componentes compartilhados, incluindo o AMS Managed Active Directory AWS Transit Gateway,, e AWS Organizations Perda de gerenciamento da infraestrutura compartilhada Redefina o acesso do administrador ao AMS Managed Active Directory e assuma o gerenciamento dos componentes de serviços compartilhados
Relatórios Aplicativos e contas principais O AMS não coleta mais detalhes da conta ou do nível do recurso para gerar relatórios agregados Perda de informações sobre métricas operacionais e comerciais (cobertura de backup e patches, gerenciamento de mudanças e atividade de incidentes) Substitua qualquer relatório de dados agregado necessário em todas as contas por sua própria solução
Equipe de contas e central de atendimento do AMS Aplicativos e contas principais A equipe de contas do AMS (CSDM, CA) e a central de serviços de operações do AMS não oferecem mais suporte às contas externas Perda de suporte operacional com experiência na arquitetura de landing zone de várias contas projetada pela AMS e componentes relacionados Certifique-se de que haja pessoal suficiente e familiaridade com a estrutura e os recursos da conta para apoiar as operações no ambiente

Alternativas de acesso

A seguir estão os métodos alternativos para manter o acesso à sua EC2 pilha depois de desativar as contas do AMS:

Desativar scripts de EC2 inicialização do AMS

Sistemas operacionais Linux

Use o gerenciador de pacotes da sua distribuição para desinstalar o ams-modules pacote. Por exemplo, para uso do Amazon Linux 2yum remove ams-modules.

Sistemas operacionais do Windows

Para desativar os scripts de EC2 inicialização no Windows, conclua as seguintes etapas:

  1. Windows Server 2008/2012/2012r2/2016/2019:

    Desative ou remova a tarefa agendada do Managed Services Startup do Agendador de Tarefas. Para listar as tarefas agendadas, execute o Get-ScheduledTask -TaskName '*Ec2*' comando.

    Windows Server 2022:

    Remova a tarefa EC2 Launch v2. Essa tarefa é executada Initialize-AMSBoot em postReady estágio em C:\\ AmazonProgramData\ EC2 Launch\ config\ agent-config.yml na instância. Veja a seguir um trecho de um exemplo: agent-config.yml

    {
	"task": "executeScript",
	"inputs": [
		{
			"frequency": "always",
			"type": "powershell",
			"runAs": "localSystem"
		}
	]
}

  2. (Opcional) Remova o seguinte conteúdo do arquivo:

    C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*

PBIS Open/Enterprise (Ponte AD)

Para determinar se você usa a edição PBIS Open ou PBIS Enterprise (AD Bridge), execute o seguinte comando em uma instância EC2 gerenciada do Linux:

yum info | grep pbis

Veja a seguir um exemplo de saída que mostra o PBIS Enterprise (AD Bridge):

Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development

PBIS Aberto

O PBIS Open é um produto obsoleto que BeyondTrust não oferece mais suporte. Para obter mais informações, consulte a documentação do BeyondTrust pbis-open.

Ponte AD (PBIS Enterprise)

Você pode executar uma das seguintes ações:

  • Renove o licenciamento e continue operando o AD Bridge. Entre em contato BeyondTrust para discutir o licenciamento e o suporte.

  • Interrompa o uso do AD Bridge. Execute o comando Shell a seguir para remover o pacote PBIS-Enterprise das instâncias gerenciadas do Linux. Para obter mais informações, consulte a BeyondTrust documentação Sair de um domínio e desinstalar o AD Bridge Agent.

    $ sudo /opt/pbis/bin/uninstall.sh purge

Sair do domínio do Active Directory gerenciado pelo AMS sem remover o agente PBIS

Você tem a opção de deixar o Active Directory gerenciado pelo AMS sem remover o agente PBIS. Use uma das soluções a seguir, dependendo do seu sistema operacional:

Linux operating systems

Use o PBIS do AD gerenciado pelo AMS para executar o seguinte comando shell para desassociar-se de uma instância Linux. EC2 Para obter mais informações, consulte a documentação do BeyondTrust pbis-open ou do BeyondTrust AD Bridge, dependendo da versão usada.

$ sudo /opt/pbis/bin/domainjoin-cli leave

Talvez você veja uma mensagem de erro semelhante à seguinte:

Error: LW_ERROR_KRB5_REALM_CANT_RESOLVE [code 0x0000a3e1]
Cannot resolve network address for KDC in requested realm

Se esse erro ocorrer, execute os seguintes comandos para excluir o registro do provedor AD e reiniciar lwsm os serviços:

$ /opt/pbis/bin/regshell dir '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin]'

Use a saída do ID do diretório que você recebeu do comando anterior (por exemplo,A123EXAMPLE.AMAZONAWS.COM) para executar os seguintes comandos:

$ /opt/pbis/bin/regshell delete_tree \
'[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin\DIRECTORYID]'

$ /etc/pbis/redhat/lwsmd restart

$ /opt/pbis/bin/lwsm restart lwreg
Windows operating systems
# Collect hostname and domain name using:

Test-ComputerSecureChannel -verbose

# Disjoin computer from the domain:

netdom remove hostname /domain:domain name /force
nota

Certifique-se de desativar ou remover a tarefa agendada do Managed Services Startup, conforme mencionado emDesativar scripts de EC2 inicialização do AMS.

Trend Micro Deep Security

Use uma das seguintes opções para continuar ou interromper o uso do Trend Micro Deep Security:

Continuar o uso

  • (Se desativar todo o MALZ) Após a desativação da conta Core, reconecte as contas externas do Aplicativo ao Trend Micro Deep Security Manager (DSM) existente e mantenha o licenciamento na conta de Serviços compartilhados. Para obter mais informações, consulte Adicionar contas AWS na nuvem e Verificar as informações da sua licença.

    1. Faça login na conta de serviços compartilhados e navegue até o console do Secrets Manager.

    2. Recupere as credenciais de administrador do console DSM que estão armazenadas no caminho. /ams/eps/

    3. Faça login no console DSM em https://dsm.sentinel.int.

    4. Escolha Usar função entre contas e, em seguida, insiraarn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role. Substitua ACCOUNTID pelo ID da conta do aplicativo externo.

    5. Escolha Próximo.

    6. Aguarde alguns minutos para que o DSM processe a descoberta da conta e mostre que a sincronização foi bem-sucedida.

  • Reconecte contas externas do aplicativo a uma nova instalação do Trend Micro DSM. Para obter mais informações, consulte Ativar e proteger agentes e Ativar o agente.

  • Reconecte contas externas do aplicativo ao Trend Micro Cloud One. Para obter mais informações, consulte Migrar do Deep Security para o Workload Security e Migrar de um DSM local.

Interromper o uso

  • Desinstale o Trend Micro Deep Security Agents das contas externas do aplicativo. Para obter mais informações, consulte Desinstalar o Deep Security.