本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
退出 AMS 多账号 landing zone 账号
您可以从 AMS Advanced 多 AWS 账号登陆区移出两种类型的账户:
-
应用程序账户
-
核心账户
要从 AMS Multi-Account landing zone 中移出所有账户,您必须先关闭所有应用程序账户,然后才能退出核心账户。
要接管并继续操作已离线的应用程序或核心账户中的工作负载,请务必与 AMS 客户团队一起查看此文档。本文档概述了 AMS 在机外流程中执行的更改。
需要完成的任务,才能继续操作已离线账户
要继续操作从 AMS 多账户 landing zone 下线的账户,需要执行以下任务:
开启开发者模式:要获得更多账户权限,请在从 AMS 中移除应用程序账户之前开启开发者模式。开启开发者模式后,您可以更轻松地进行必要的更改,为下线做好准备。不要尝试移除或修改 AMS 基础设施资源。如果您删除 AMS 基础设施资源,那么 AMS 可能无法成功退出您的账户。有关如何启用开发者模式的信息,请参阅AMS 高级开发者模式入门。
如果您在开启开发者模式后无法完成必要的更改以准备下线,请联系您的 AMS 客户团队讨论您的要求。
选择另一种访问 EC2 堆栈的方法:从 AMS 中移除应用程序帐户后,您将无法使用 RFCs 访问堆栈资源。查看离职变更,然后选择其他访问方法,这样您就可以保留对堆栈的访问权限。有关更多信息,请参阅 访问替代方案。
离线 AMS 应用程序账户
要将应用程序帐户从您的多账户 landing zone 环境中移除,请为每个账户完成以下步骤:
确认账户 RFCs 中没有未开户。有关更多信息,请参阅 创建、克隆、更新、查找和取消 RFCs。
确认您可以访问该账户的主用户或根用户电子邮件地址。
在申请账户中,使用申请账户 | 确认离职 (ct-2wlfo2jxj2rkj) 变更类型提交 RFC。在 RFC 中,指定要移除的应用程序帐户。
在管理账户中,使用管理账户 | Offboard 应用程序账户 (ct-0vdiy51oyrhm) 的变更类型提交 RFC。在 RFC 中,指定要移除的应用程序帐户。此外,请指明您是要删除还是保留与着陆区的公交网关连接。
要确保 AMS 账单已停止,请通知您的 CSDM 您已注销该账户。
在应用程序帐户注销后,会发生以下情况:
所有组件都与 AMS 服务解除关联,但您创建的资源仍保留在账户中。您可以选择保留或关闭 AMS 离线账户。
应用程序账户注销后,核心账户和其他剩余的应用程序账户可以正常运行。
AMS 账单已停止,但在您关闭账户后才会停止 AWS 计费。如需了解更多信息,请参阅关闭账户前须知事项。
如果账户已关闭,则该账户将在 90 天内在该
suspended州的组织中可见。90 天后,已关闭的账户将被永久删除,并且在您的组织中不再可见。账户关闭后,您仍然可以登录并在 90 天内提交支持案例或联系方式 支持 。
90 天后,账户中保留的所有内容都将被永久删除,剩余的 AWS 服务也将终止。
- 问:我能否使用我的联合 IAM 角色继续访问我从 AMS 多账户登陆区域下线的应用程序账户?
是。AMS 创建的默认 AWS Identity and Access Management (IAM) 角色在 AMS 离职后仍可在账户中使用。但是,这些角色和策略是为与 AMS 访问管理一起使用而设计的。要为您的用户提供必要的访问权限,您可能需要部署自己的 IAM 资源。
- 问:如何获得从我的 AMS 多账户 landing zone 下线的应用程序账户的完全访问权限?
已移除的应用程序帐户将移至账户结构中的已弃用组织单位 (OU)。 AWS Organizations 此举解除了之前阻止 root 用户访问的 SCP 访问限制。有关如何重置 root 用户凭证的信息,请参阅重置丢失或忘记的 root 用户密码。
- 问:在应用程序账户注销期间进行了哪些更改?
有关 AMS 在服务关闭账户时所采取的操作的信息,请参阅离职变更。
- 问:我能否在不将应用程序账户与公交网关断开的情况下将其从中断开连接?
是。使用管理账户 | Offboard 应用程序账户 (ct-0vdiy51oyrhm) 更改类型提交 RFC,并将参数指定为。
DeleteTransitGatewayAttachmentFalse- 问:注销应用程序账户需要多长时间?
当你使用管理账户 | Offboard 应用程序账户 (ct-0vdiy51oyrhm) 更改类型时,请在 1 小时内完成。 RFCs
- 问:我是否必须关闭离职账户?
不是。 AMS 下线后关闭账户不是强制性的。在离职过程中,AMS 会移除其对您 AWS 账户的访问和管理权限,但您的账户和账户中的资源仍然存在。请务必注意,AMS 离职后,您全权负责管理和维护自己的 AWS 账户和资源。在离职流程完成后,AMS 对您的账户中可能发生的任何问题、事件或服务中断概不负责。如需了解更多信息,请参阅如何关闭我的 AWS 账户?
。 - 问:如果我提交账户关闭请求,是否会立即删除所有现有资源?
不是。 关闭账户不会终止您的资源。账户中的资源将在关闭请求 90 天后自动终止。AMS 账单会停止,但在您关闭账户之前, AWS 资源计费不会停止。如需了解更多信息,请参阅关闭账户前须知事项。
- 问:我能否安排应用程序账户的注销?
是。您可以安排 RFCs 在特定时间运行。但是,申请账户 | 确认离职 RFC 必须先完成,然后才能安排管理账户 | Offboard 应用程序账户 RFC。有关更多信息,请参阅 RFC 调度。
-
R:责任方。负责完成所列任务的一方。
-
答:责任方。批准已完成任务的一方。
-
C:咨询方。通常以主题专家的身份征求意见的当事方,并与之进行双边沟通。
-
我:知情方。通报进展情况的一方,通常只有在任务或可交付成果完成后才会被告知。
| 活动 | Customer | AWS Managed Services (AMS) |
|---|---|---|
| 先决条件 | ||
| 验证将要移除的每个 AWS 账户 ID 的根电子邮件地址的访问权限 | R | C |
| 查看 AMS 关于建议客户操作的文档,并为 AMS 离职准备账户 | R | C |
| 如有必要,提交 RFC 以启用开发者模式,为 AMS 离职做好账户准备 | R | 我 |
| 如果需要,请选择其他 EC2 堆栈访问方法。 | R | 我 |
| 离职 | ||
| 提交 RFCs 以确认并申请注销申请账户 | R | 我 |
| 从应用程序帐户中移除 AMS 组件 | 我 | R |
| 通知 AMS CSDM 已离线账户以停止 AMS 计费 | R | 我 |
| 离职后 | ||
| 重置 root 用户帐户密码并验证已离线账户的 root 访问权限 | R | C |
| 关闭账户或按照 AMS 离职文档中有关建议客户操作的指导方针继续操作账户 | R | C |
Offboard 核心账户
要退出多账户 landing zone Core 账户,请完成以下步骤:
验证 landing zone 中的所有应用程序账户是否已从 AMS 下线。
确认您的账户 RFCs 中没有未平仓。有关更多信息,请参阅 创建、克隆、更新、查找和取消 RFCs。
确认您可以访问所有 Core 账户的主用户或根用户电子邮件地址。有关更多信息,请参阅 多账号着陆区账号。
确认您可以访问管理账户的主用户或 root 用户电话号码。使用 I
AWSManagedServicesBillingRoleAM 角色更新电话号码。有关更多信息,请参阅如何更新与我的 AWS 账户关联的电话号码?。 登录您的 AMS landing zone 管理账户并提交 AMS 服务申请。在服务请求中,指定离开整个着陆区。
核心账户下线后会发生以下情况:
-
所有组件都与 AMS 服务断开关联,但一些 AWS 资源仍保留在账户中。您可以选择保留或关闭 AMS 已离线的 Core 账户。
-
AMS 账单已停止,但在您关闭账户后才会停止 AWS 计费。如需了解更多信息,请参阅关闭账户前须知事项。
-
如果账户已关闭,则该账户将在 90 天内在该
suspended州的组织中可见。90 天后,已关闭的成员账户将被永久删除,并且在您的组织中不再可见。 -
账户关闭后,您仍然可以登录并在 90 天内提交支持案例或联系方式 支持 。
-
账户关闭 90 天后,账户中保留的所有内容都将被永久删除,剩余的 AWS 服务也将终止。
- 问:我能否使用我的联合 IAM 角色继续访问已离线的 Core 账户?
是。AMS 创建的默认 AWS Identity and Access Management (IAM) 角色在离线账户中仍然可用。但是,这些角色和策略是为与 AMS 访问管理一起使用而设计的。要为您的用户提供必要的访问权限,您可能需要部署自己的 IAM 资源。
- 问:退出 AMS 多账户登陆区域后,如何获得管理、共享服务、网络或其他非应用程序 MALZ 账户的完全访问权限?
下线后,按照重置丢失或忘记的根用户密码中的说明使用主(根)用户凭据访问管理账户以外的核心账户。与其他账户类型不同,管理账户保留了与根用户关联的无法访问的多因素身份验证 (MFA) 设备,以防止使用。要重新获得根访问权限,您必须按照丢失的 MFA 设备恢复
流程进行操作。 - 问:在核心账户离线期间进行了哪些更改?
有关 AMS 在服务关闭账户时所采取的操作的信息,请参阅离职变更。
- 问:核心账户下线需要多长时间才能完成?
核心账户离职流程通常需要长达 30 天才能完成。但是,为了确保正确完成所有必需的步骤,您必须在离职开始前至少 7 天提出离职申请。为了便于轻松过渡,请提前计划并提前提交离职申请。
- 问:AMS 下线后如何管理共享组件?
AMS 托管 Active Directory 和其他共享服务基础设施组件专为 AMS 操作员访问而设计。您可能需要更新亚马逊弹性计算云 (Amazon EC2) 安全组、 AWS Organizations 服务控制策略 (SCP) 或进行其他更改以保留对这些组件的完全访问权限。
- 问:我能否关闭已离线的核心账户?
默认情况下,应用程序账户与 MALZ Core 账户有多种依赖关系,例如 AWS Organizations 成员资格、传输网关网络连接以及通过 AMS 托管 Active Directory 进行的 DNS 解析。解决这些依赖关系后,您可以停用并关闭已离线的 Core 账户。有关更多信息,请参阅 多账号着陆区账号。
-
R:责任方。负责完成所列任务的一方。
-
答:责任方。批准已完成任务的一方。
-
C:咨询方。通常以主题专家的身份征求意见的当事方,并与之进行双边沟通。
-
我:知情方。通报进展情况的一方,通常只有在任务或可交付成果完成后才会被告知。
| 活动 | Customer | AWS Managed Services (AMS) |
|---|---|---|
| 先决条件 | ||
| 验证对每个将被移除的 AWS 账户 ID 的根电子邮件地址的访问权限 | R | C |
| 验证访问权限并更新管理账户的 root 用户电话号码 | R | C |
| 查看 AMS 关于建议客户操作的文档,并为 AMS 离职准备账户 | R | C |
| 离职 | ||
| 提交服务请求以请求离开 landing zone | R | 我 |
| 从核心账户中移除 AMS 组件 | 我 | R |
| 离职后 | ||
| 重置 root 用户帐户密码并验证已离线账户的 root 访问权限 | R | C |
| 关闭账户或按照 AMS 离职文档中有关建议客户操作的指导方针继续操作账户 | R | C |
离职变更
下表描述了 AMS 在多账户 landing zone 下线时采取的措施、潜在影响和建议的措施。
| 组件 | 账户类型 | 为下船而采取的行动 | 潜在影响 | 建议的客户操作 |
|---|---|---|---|---|
| 访问权限管理 | 应用程序账户 |
下机后,无法再通过 AMS just-in-time 堡垒主机提交 RFCs 对有时间限制的访问堆栈的 EC2 堆栈访问权限 AMS 不再管理任何现有 EC2 资源堆栈上与访问相关的组件(PBIS Open 代理、域加入脚本) |
无法通过 RFS 使用 AMS 堡垒访问实例 EC2 EC2 从提供的非 AMS 启动的实例 AMIs 未加入托管 Active Directory 域 如果不移除,现有资源堆栈中的 AMS 启动脚本可能会因为缺少 AMS 依赖项而产生错误,并阻止重新加入其他域 |
使用其他方法访问 EC2 实例(请参阅访问替代方案) 从现有 EC2 资源堆栈中移除 AMS 启动脚本(请参阅禁用 AMS EC2 启动脚本) |
| 访问管理(续) | 核心账户 | 如果您从 PBIS Open 迁移到 PBIS Enterprise(AD Bridge),那么在核心账户离职后,AMS 将不再续订许可 | 如果允许 PBIS Enterprise 许可证过期,则 Active Directory 凭据对现有的基于 Linux EC2 的实例堆栈无效 | 如果您迁移到 PBIS Enterprise(AD Bridge),请决定是保留许可还是停用(请参阅)PBIS Open/Enterprise (AD Bridge) |
| 记录、监控、 Incident/Event 管理 | 应用程序和核心账户 |
要部署来自 AMS 基线监测的警报的 AMS 组件已移除 现有已部署的 Amazon CloudWatch 警报仍然存在,但不会再产生 AMS 事件 AWS Config 来自 AMS 和 MALZ Core 安全账户的聚合授权已删除 AWS Config 规则仍处于部署状态,Amazon GuardDuty 仍处于启用状态,但不再创建 AMS 事件 |
新创建的资源没有应用 AMS 基准监控和警报 基础设施指标警报和安全事件不再生成 AMS 事件 AWS Config 不再汇总到中央账户中 |
定义、捕获和分析运营指标,以查看工作负载事件并采取适当的措施。 实施任何必需的警报工作流程,继续对新资源应用所需的操作监控和警报,并接收来自 AWS Config 和 Amazon 的安全警报 GuardDuty。 |
| 连续性管理(Backup and Restore) | 应用程序账户 |
AMS 不再监控备份任务或执行备份和恢复请求 AMS 默认备份存储库、备份加密密钥和备份角色保留 |
可能不会注意到 Backup 操作失败 | 监控和审查备份计划配置 |
| 补丁管理 | 应用程序和核心账户 |
AMS 不再监控修补操作是否成功执行,也不再执行手动修补 AMS 不再更新 AMS 基础设施组件 AMS 提供的补丁基准会保留 AMS 提供的 AWS Systems Manager 补丁自动化运行手册是非共享的,不再可供使用 |
可能不会注意到修补操作失败 依赖于 AMS 提供的 Systems Manager Automation 运行手册的现有补丁配置必须重新配置才能不间断地继续运行 |
根据需要查看和重新配置修补配置 |
| 网络管理 | 应用程序账户 | 如果指定,则移除已移除的应用程序账户中的公交网关附件 | 已移除的应用程序账户无法再使用传输网关访问共享服务,例如托管 Active Directory 或其他应用程序账户 | 指定DeleteTransitGatewayAttachment为False以保持中转网关的连接 |
| 安全管理 | 应用程序账户 |
帐户已从中央趋势科技 DSM 控制台中断开。此外,端点代理不再通过 AMS 事件流程转发警报 趋势科技代理仍处于安装状态,但不再由 AMS 管理或更新 AMS 提供的部署趋势科技代理的 AMI 自定义项不再由 AMS 维护或更新 |
EC2 可能不会注意到实例端点恶意软件检测 趋势科技代理未部署在从非 AMS 提供的 EC2 实例上 AMIs |
考虑继续或停止趋势科技的选项(请参阅Trend Micro Deep Security) |
| 安全管理(续) | 核心账户 |
趋势科技 DSM 基础架构保留在共享服务账户中,但不再由 AMS 维护或更新 趋势科技 DSM 不再通过 AMS 事件流程转发警报 |
EC2 实例端点恶意软件检测可能会被忽视 EC2 如果不维护基础架构(定义更新、许可等),则实例端点保护可能会受到影响 |
决定是继续还是停止趋势科技(请参阅Trend Micro Deep Security) |
| 变更管理 | 应用程序和核心账户 |
AMS RFC 控制台和 API 已移除 包含账户级访问限制的 AMS 自定义服务控制策略 (SCPs) 将在应用程序账户注销期间分离,并在 Core 账户注销期间删除 |
您必须使用原生 AWS API 来创建新资源、更改现有资源或更新现有 CloudFormation 堆栈 不再通过提供的 AMS 在账户层面施加访问限制 SCPs |
确保用户角色提供足够的访问权限以使用 AWS 服务 创建 SCPs 以提供账户级别的权限限制 |
| 用于服务管理的 AMS 操作系统映像和自动化 | 应用程序和核心账户 |
AMS 不再为所提供的 AMS 中包含的自定义和启动脚本提供支持 EC2 AMIs 所提供的 AMS 在您的离线账户中 EC2 AMIs 仍然可用 AMS 提供的 Systems Manager Automation 运行手册是非共享的,不再可供使用 |
下线后, 依赖于 AMS 提供的 Systems Manager Automation 运行手册的操作流程可能会失败 |
审查和更新任何依赖于 AMS 提供的 AMS 或 Systems Manager Automation 运行手册的构建 AMIs 或操作流程 |
| 共享服务基础架构 | 核心账户 | AMS 访问权限已移除,AMS 不再管理共享组件,包括 AMS 托管 Active Directory AWS Transit Gateway,以及 AWS Organizations | 对共享基础架构的管理丢失 | 重置管理员对 AMS 托管 Active Directory 的访问权限并假设管理共享服务组件 |
| 报告 | 应用程序和核心账户 | AMS 不再收集账户或资源级别的详细信息以进行汇总报告 | 对运营和业务指标(备份和补丁覆盖范围、变更管理和事件活动)缺乏洞察力 | 将所有需要的跨账户汇总数据报告替换为他们自己的解决方案 |
| AMS 客户团队和服务台 | 应用程序和核心账户 | AMS 客户小组(加利福尼亚州 CSDM)和 AMS 运营服务台不再支持已离线账户 | 失去对 AMS 设计的多账户 landing zone 架构和相关组件的专业知识的运营支持 | 确保有足够的人员并熟悉账户结构和资源,以支持环境中的运营 |
访问替代方案
以下是在退出 AMS 账户后保留 EC2 堆栈访问权限的替代方法:
使用会话管理器以更高的权限访问 EC2 实例,无需堡垒或入站网络访问权限。有关更多信息,请参阅 AWS Systems Manager Session Manager。
使用新的域凭据@@ 将 EC2 实例重新加入到不同的 Active D irectory 域。如果您使用 Directory Service,请参阅将 EC2 实例加入您的 AWS Managed Microsoft AD 目录。
使用您通过其他访问方法之一或通过 AWS Systems Manager Run Command 创建的本地用户帐户。
禁用 AMS EC2 启动脚本
Linux 操作系统:
使用发行版的软件包管理器卸载该ams-modules软件包。例如,对于亚马逊 Linux 2,请使用yum remove ams-modules。
Windows 操作系统
要在 Windows 中禁用 EC2 启动脚本,请完成以下步骤:
Windows Server 2008/2012/2012r2/2016/2016/2019:
从 “任务计划程序” 中禁用或删除 Managed Services 启动计划任务。要列出计划任务,请运行
Get-ScheduledTask -TaskName '*Ec2*'命令。2022 年 Windows 服务器:
移除 EC2Launch v2 任务。此任务
Initialize-AMSBoot在实例上的 C:\\ Amazon\ La EC2 unchProgramData\ config\ agent-config.yml 中分postReady阶段运行。以下是示例agent-config.yml中的一段片段:{ "task": "executeScript", "inputs": [ { "frequency": "always", "type": "powershell", "runAs": "localSystem" } ] }(可选)删除以下文件内容:
C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.* C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*
PBIS Open/Enterprise (AD Bridge)
要确定您使用的是 PBIS 开放版还是 PBIS Enterprise(AD Bridge)版,请在 Linux EC2 托管实例中运行以下命令:
yum info | grep pbis
以下是显示 PBIS Enterprise(AD Bridge)的示例输出:
Name : pbis-enterprise From repo : pbise Name : pbis-enterprise-devel Repo : pbise Description : The pbis-enterprise-devel package includes the development
PBIS 公开赛
PBIS Open 是一款已弃用的产品, BeyondTrust 不再支持。有关更多信息,请参阅 BeyondTrust pbis-open 文档
AD Bridge(PBIS 企业版)
您可以执行以下操作之一:
续订许可并继续运行 AD Bridge。联系我们 BeyondTrust 讨论许可和支持事宜。
停止使用 AD Bridge。运行以下命令行管理程序命令从 Linux 托管实例中删除 PBIS-Enterprise 软件包。有关更多信息,请参阅 BeyondTrust 文档退出域名并卸载 AD Bridge 代理
。 $ sudo /opt/pbis/bin/uninstall.sh purge
在不移除 PBIS 代理的情况下离开 AMS 托管的活动目录域
您可以选择在不移除 PBIS 代理的情况下离开 AMS 托管的 Active Directory。根据您的操作系统,使用以下解决方案之一:
Trend Micro Deep Security
使用以下选项之一继续或停止使用趋势科技趋势科技服务器深度安全防护系统:
继续使用
(如果退出整个 MALZ)核心账户退出后,请将已离线的应用程序帐户重新连接到现有的趋势科技趋势科技趋势科技服务器深度安全防护系统管理中心 (DSM),并在共享服务帐户中维护许可。有关更多信息,请参阅添加 AWS 云帐户
和检查您的许可证信息 。 登录共享服务账户并导航到 Secrets Manager 控制台。
检索存储在
/ams/eps/路径中的 DSM 控制台管理员凭据。登录 DSM 控制台,网址为 https://dsm.sentinel.int
。 选择 “使用跨账户角色”,然后输入
arn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role。将 ACCO UNTID 替换为已移除的应用程序帐户 ID。选择下一步。
等待几分钟,让 DSM 处理账户发现并显示同步已成功。
将已卸载的应用程序帐户重新连接到趋势科技 Cloud One。有关更多信息,请参阅从趋势科技服务器深度安全防护系统迁移到工作负载安全
防护系统和从本地 DSM 迁移 。
停止使用
从已移除的应用程序帐户中卸载趋势科技服务器深度安全防护系统客户端。有关更多信息,请参阅卸载趋势科技服务器深度安全防护系统
。
