本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
從 AMS 多帳戶登陸區域帳戶離職
有兩種 AWS 帳戶類型可以從 AMS 進階多帳戶登陸區域下架:
-
應用程式帳戶
-
核心帳戶
若要從 AMS 多帳戶登陸區域移出所有帳戶,您必須先移出所有應用程式帳戶,才能移出核心帳戶。
若要接管和繼續在離職的應用程式或核心帳戶中操作工作負載,請務必與您的 AMS 帳戶團隊一起檢閱本文件。本文件概述 AMS 在離職程序期間執行的變更。
要完成的任務,以便繼續操作離職帳戶
您從 AMS 多帳戶登陸區域移出之帳戶的持續操作需要下列任務:
開啟開發人員模式:若要取得更多帳戶的許可,請先開啟開發人員模式,再從 AMS 關閉應用程式帳戶。當您開啟開發人員模式時,您可以更輕鬆地進行必要的變更,以準備離職。請勿嘗試移除或修改 AMS 基礎設施資源。如果您刪除 AMS 基礎設施資源,則 AMS 可能無法成功脫離您的帳戶。如需如何啟用開發人員模式的詳細資訊,請參閱 AMS 進階開發人員模式入門。
如果您在開啟開發人員模式後無法完成準備離職的必要變更,請聯絡您的 AMS 客戶團隊以討論您的需求。
選擇 EC2 堆疊存取的替代方法:從 AMS 離職應用程式帳戶後,您無法使用 RFCs存取堆疊資源。檢閱 離職變更,然後選擇替代存取方法,以保留堆疊的存取權。如需詳細資訊,請參閱存取替代方案。
離線 AMS 應用程式帳戶
若要從多帳戶登陸區域環境移出應用程式帳戶,請為每個帳戶完成以下步驟:
確認帳戶中沒有開啟RFCs。如需詳細資訊,請參閱建立、複製、更新、尋找和取消 RFCs。
確認您可以存取帳戶的主要或根使用者電子郵件地址。
從應用程式帳戶提交 RFC 與應用程式帳戶 | 確認離職 (ct-2wlfo2jxj2rkj) 變更類型。在 RFC 中,指定要離職的應用程式帳戶。
從 管理帳戶,使用 管理帳戶 | 離線應用程式帳戶 (ct-0vdiy51oyrhhm) 變更類型提交 RFC。在 RFC 中,指定要離職的應用程式帳戶。此外,指出您是否要刪除或保留與登陸區域的傳輸閘道連接。
若要確保 AMS 帳單已停止,請通知 CSDM 您離職帳戶。
應用程式帳戶離職後會發生下列情況:
所有元件都會與 AMS 服務取消關聯,但您建立的資源會保留在帳戶中。您可以選擇保留或關閉 AMS 離職帳戶。
應用程式帳戶離職後,核心帳戶和其他剩餘的應用程式帳戶可正常運作。
AMS 帳單會停止,但在您關閉帳戶之前,不會停止 AWS 帳單。如需詳細資訊,請參閱關閉帳戶前的須知。
如果帳戶已關閉,則該帳戶在處於
suspended狀態的組織中可見 90 天。在 90 天後,已關閉的帳戶會永久移除,而且不會再出現在您的組織中。帳戶關閉後,您仍然可以登入並提交支援案例或聯絡人 支援 90 天。
90 天後,任何保留在帳戶中的內容都會永久刪除,剩餘的 AWS 服務也會終止。
- 問:是否可以使用聯合 IAM 角色繼續存取我從 AMS 多帳戶登陸區域離職的應用程式帳戶?
是。AMS 建立的預設 AWS Identity and Access Management (IAM) 角色在 AMS 離職後仍可在帳戶中使用。不過,這些角色和政策旨在與 AMS 存取管理搭配使用。若要為使用者提供必要的存取權,您可能需要部署自己的 IAM 資源。
- 問:如何完整存取我從 AMS 多帳戶登陸區域離職的應用程式帳戶?
離職應用程式帳戶會移至 AWS Organizations 帳戶結構中的已棄用組織單位 (OU)。此移動會取消先前封鎖根使用者存取的 SCP 存取限制。如需如何重設根使用者憑證的資訊,請參閱重設遺失或忘記的根使用者密碼。
- 問:應用程式帳戶離職期間會進行哪些變更?
如需 AMS 在服務離線帳戶時所採取動作的資訊,請參閱 離職變更。
- 問:我可以在沒有將其從傳輸閘道分離的情況下讓應用程式帳戶離職嗎?
是。使用 管理帳戶 | 離線應用程式帳戶 (ct-0vdiy51oyrhhm) 變更類型來提交 RFC,並將
DeleteTransitGatewayAttachment參數指定為False。- 問:退出應用程式帳戶需要多長時間?
當您使用 管理帳戶 | 離線應用程式帳戶 (ct-0vdiy51oyrhhm) 變更類型時,RFCs會在 1 小時內完成。
- 問:我是否必須關閉離職帳戶?
否。不需要在 AMS 離職後關閉帳戶。在離職程序期間,AMS 會移除 AWS 帳戶的存取和管理,但您的帳戶和帳戶中的資源仍會保留。請務必注意,在 AMS 離職後,您完全負責管理和維護 AWS 您的帳戶和資源。在離職程序完成後,AMS 不會對您的帳戶中可能發生的任何問題、事件或服務中斷負責。如需詳細資訊,請參閱如何關閉 AWS 帳戶?
。 - 問:如果我提交帳戶關閉請求,是否立即刪除所有現有的資源?
否。帳戶關閉不會終止您的資源。帳戶中的資源會在關閉請求後 90 天自動終止。AMS 帳單會停止,但在您關閉帳戶之前, AWS 資源帳單不會停止。如需詳細資訊,請參閱關閉帳戶前的須知。
- 問:我可以排程應用程式帳戶的離職嗎?
是。您可以排程在特定時間執行 RFCs。不過,應用程式帳戶 | 確認離職 RFC 必須先完成,才能排程管理帳戶 | 離職應用程式帳戶 RFC。如需詳細資訊,請參閱 RFC 排程。
-
R:責任方。負責完成所列任務的一方。
-
答:當責方。核准已完成任務的一方。
-
C:諮詢方。尋求意見的一方,通常作為主題專家,並與之進行雙邊溝通。
-
I:知情方。通知進度的一方,通常只在完成任務或交付項目時。
| 活動 | 客戶 | AWS Managed Services (AMS) |
|---|---|---|
| 先決條件 | ||
| 驗證將離職之每個 AWS 帳戶 ID 的根電子郵件地址存取權 | R | C |
| 檢閱有關建議客戶動作的 AMS 文件,並為 AMS 離職準備帳戶 | R | C |
| 如有需要,請提交 RFC 以啟用開發人員模式,為 AMS 離職準備帳戶 | R | I |
| 如有需要,請選擇 EC2 堆疊存取的替代方法。 | R | I |
| 離職 | ||
| 提交 RFCs以確認和請求退出應用程式帳戶 | R | I |
| 來自應用程式帳戶的離線 AMS 元件 | I | R |
| 通知已離職帳戶的 AMS CSDM 以停止 AMS 帳單 | R | I |
| 離職後 | ||
| 重設根使用者帳戶密碼,並驗證離職帳戶中的根存取權 | R | C |
| 關閉帳戶或遵循 AMS 離職文件中建議客戶動作的 AMS 指引,以繼續操作帳戶 | R | C |
Offboard Core 帳戶
若要移出多帳戶登陸區域核心帳戶,請完成下列步驟:
確認登陸區域中的所有應用程式帳戶已從 AMS 離職。
確認您帳戶中沒有開啟RFCs。如需詳細資訊,請參閱建立、複製、更新、尋找和取消 RFCs。
確認您可以存取所有 Core 帳戶的主要或根使用者電子郵件地址。如需詳細資訊,請參閱多帳戶登陸區域帳戶。
確認您可以存取管理帳戶的主要或根使用者電話號碼。使用
AWSManagedServicesBillingRoleIAM 角色更新電話號碼。如需詳細資訊,請參閱如何更新與 帳戶相關聯的 AWS 電話號碼?。 登入您的 AMS 登陸區域管理帳戶並提交 AMS 服務請求。在服務請求中,指定 將整個登陸區域移出。
核心帳戶離職後會發生下列情況:
-
所有元件都會與 AMS 服務取消關聯,但某些 AWS 資源會保留在帳戶中。您可以選擇保留或關閉 AMS 離職核心帳戶。
-
AMS 帳單會停止,但在您關閉帳戶之前,不會停止 AWS 帳單。如需詳細資訊,請參閱關閉帳戶前須知事項。
-
如果帳戶已關閉,則該帳戶在處於
suspended狀態的組織中可見 90 天。在 90 天後,已關閉的成員帳戶會永久移除,而且不會再出現在您的組織中。 -
帳戶關閉後,您仍然可以登入並提交支援案例或聯絡人 支援 90 天。
-
帳戶關閉 90 天後,帳戶內保留的任何內容都會永久刪除,剩餘的 AWS 服務也會終止。
- 問:我可以使用聯合 IAM 角色來繼續存取離職的核心帳戶嗎?
是。AMS 建立的預設 AWS Identity and Access Management (IAM) 角色在離職帳戶中仍然可用。不過,這些角色和政策旨在與 AMS 存取管理搭配使用。若要為使用者提供必要的存取權,您可能需要部署自己的 IAM 資源。
- 問:從 AMS 多帳戶登陸區域離職後,如何取得 Management、Shared Services、Networking 或其他非應用程式 MALZ 帳戶的完整存取權?
離職後,請遵循重設遺失或忘記的根使用者密碼中的指示,使用主要 (根) 使用者登入資料來存取管理帳戶以外的核心帳戶。與其他帳戶類型不同,管理帳戶會保留與根使用者相關聯的無法存取多重要素驗證 (MFA) 裝置,以防止使用。若要重新取得根存取權,您必須遵循遺失的 MFA 裝置復原程序
。 - 問:核心帳戶離職期間會進行哪些變更?
如需 AMS 在服務離線帳戶時所採取動作的資訊,請參閱 離職變更。
- 問:核心帳戶離職需要多長時間才能完成?
核心帳戶離職程序通常需要 30 天才能完成。不過,為了確保所有必要步驟都正確完成,您必須在離職開始前至少 7 天啟動離職請求。為了方便轉換,請事先規劃並提交您的離職請求。
- 問:如何在 AMS 離職後管理共用元件?
AMS Managed Active Directory 和其他共用服務基礎設施元件專為 AMS 操作員存取而設計。您可能需要更新 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組、 AWS Organizations 服務控制政策 (SCP) 或進行其他變更,以保留這些元件的完整存取權。
- 問:我可以關閉離職的核心帳戶嗎?
根據預設,應用程式帳戶在 MALZ Core 帳戶上具有多個相依性,例如 AWS Organizations 成員資格、傳輸閘道網路連線,以及透過 AMS Managed Active Directory 的 DNS 解析。解決這些相依性之後,您可以解除委任並關閉離職的核心帳戶。如需詳細資訊,請參閱多帳戶登陸區域帳戶。
-
R:責任方。負責完成所列任務的一方。
-
答:當責方。核准已完成任務的一方。
-
C:諮詢方。尋求意見的一方,通常是主題專家,並與之進行雙邊溝通。
-
I:通知方。通知進度的一方,通常只在完成任務或可交付項目時。
| 活動 | 客戶 | AWS Managed Services (AMS) |
|---|---|---|
| 先決條件 | ||
| 驗證將離職之每個 AWS 帳戶 ID 的根電子郵件地址存取權 | R | C |
| 驗證對 的存取,並更新管理帳戶的根使用者電話號碼 | R | C |
| 檢閱有關建議客戶動作的 AMS 文件,並為 AMS 離職準備帳戶 | R | C |
| 離職 | ||
| 提交服務請求以請求離職登陸區域 | R | I |
| 來自核心帳戶的離線 AMS 元件 | I | R |
| 離職後 | ||
| 重設根使用者帳戶密碼,並驗證離職帳戶中的根存取權 | R | C |
| 關閉帳戶或遵循 AMS 離職文件中建議客戶動作的 AMS 指引,以繼續操作帳戶 | R | C |
離職變更
下表說明 AMS 針對多帳戶登陸區域離職、潛在影響和建議動作所採取的動作。
| 元件 | Account type (帳戶類型) | 對離職採取的動作 | 潛在影響 | 建議的客戶動作 |
|---|---|---|---|---|
| 存取管理 | 應用程式帳戶 |
離職後,無法再提交just-in-time、有時間限制的存取的堆疊存取 RFCs,以透過 AMS 堡壘主機存取 EC2 堆疊 AMS 不再管理任何現有 EC2 資源堆疊上的存取相關元件 (PBIS Open 代理程式、網域聯結指令碼) |
無法透過 RFS 使用 AMS 堡壘來存取 EC2 執行個體 從非 AMS 啟動的 EC2 執行個體,前提是 AMIs 未加入 Managed Active Directory 網域 如果未移除,現有資源堆疊中的 AMS 啟動指令碼可能會因為缺少 AMS 相依性而產生錯誤,並防止重新加入不同的網域 |
使用替代方法來存取 EC2 執行個體 (請參閱 存取替代方案) 從現有的 EC2 資源堆疊移除 AMS 啟動指令碼 (請參閱 停用 AMS EC2 啟動指令碼) |
| 存取管理 (續) | 核心帳戶 | 如果您從 PBIS Open 遷移到 PBIS Enterprise (AD Bridge),則 AMS 不會在核心帳戶離職後續約授權 | 如果允許 PBIS Enterprise 授權過期,Active Directory 登入資料不適用於現有的 Linux EC2 執行個體堆疊 | 如果您遷移至 PBIS Enterprise (AD Bridge),則決定是否要維持授權或取消委任 (請參閱 PBIS Open/Enterprise (AD Bridge)) |
| 記錄、監控、事件/事件管理 | 應用程式和核心帳戶 |
要部署的 AMS 元件AMS 中基準監控的提醒已移除 現有的已部署 Amazon CloudWatch 警示會保留,但不會再建立 AMS 事件 AWS Config 已從 AMS 和 MALZ Core 安全帳戶移除彙總授權 AWS Config 規則保持部署,Amazon GuardDuty 保持啟用,但不再建立 AMS 事件 |
新建立的資源未套用 AMS 基準監控和警示 基礎設施指標警示和安全性事件不會再產生 AMS 事件 AWS Config 不再彙總至中央帳戶 |
定義、擷取和分析操作指標,以檢視工作負載事件並採取適當的動作。 實作任何必要的提醒工作流程,以繼續對新資源套用必要的操作監控和警示,以及從 AWS Config 和 Amazon GuardDuty 接收安全提醒。 |
| 持續性管理 (備份和還原) | 應用程式帳戶 |
AMS 不再監控備份任務或執行備份和還原請求 AMS 預設備份保存庫、備份加密金鑰和備份角色仍會保留 |
可能不會注意到備份操作失敗 | 監控和檢閱備份計劃組態 |
| 修補管理 | 應用程式和核心帳戶 |
AMS 不再監控修補操作是否成功執行或執行手動修補 AMS 不再更新 AMS 基礎設施元件 AMS 提供的修補程式基準會保留 AMS 提供的 AWS Systems Manager 修補程式自動化 Runbook 未共用,不再可供使用 |
可能不會注意到修補操作失敗 依賴 AMS 提供的 Systems Manager Automation Runbook 的現有修補程式組態必須重新設定,才能繼續不間斷 |
視需要檢閱並重新設定修補組態 |
| 網路管理 | 應用程式帳戶 | 如果指定,則會移除離職應用程式帳戶中的傳輸閘道連接 | 離職應用程式帳戶無法再使用傳輸閘道存取共用服務,例如 Managed Active Directory 或其他應用程式帳戶 | 將 指定DeleteTransitGatewayAttachment為 False以保留傳輸閘道連線 |
| 安全管理 | 應用程式帳戶 |
帳戶已從中央 Trend Micro DSM 主控台分離。此外,端點代理程式不會再透過 AMS 事件程序轉送警示 Trend Micro 代理程式會保持安裝狀態,但不再由 AMS 管理或更新 AMS 提供的部署 Trend Micro 代理程式的 AMI 自訂不再由 AMS 維護或更新 |
可能不會注意到 EC2 執行個體端點惡意軟體偵測 Trend Micro 代理程式不會部署在從非 AMS 提供的 AMIs 啟動的 EC2 執行個體上 |
考慮繼續或終止 Trend Micro 的選項 (請參閱 Trend Micro Deep Security) |
| 安全管理 (續) | 核心帳戶 |
Trend Micro DSM 基礎設施保留在共用服務帳戶中,但不再由 AMS 維護或更新 Trend Micro DSM 不再透過 AMS 事件程序轉送提醒 |
EC2 執行個體端點惡意軟體偵測可能會被忽略 如果基礎設施未維護 (定義更新、授權等),EC2 執行個體端點保護可能會受到影響 |
決定是否要繼續或終止 Trend Micro (請參閱 (請參閱 Trend Micro Deep Security) |
| 變更管理 | 應用程式和核心帳戶 |
AMS RFC 主控台和 API 已移除 包含帳戶層級存取限制的 AMS 自訂服務控制政策 (SCPs) 會在應用程式帳戶離職期間分離,並在核心帳戶離職期間刪除 |
您必須使用原生 AWS API 來建立新資源、變更現有資源或更新現有 AWS CloudFormation 堆疊 不再透過 AMS 提供的 SCPs 在帳戶層級強制執行存取限制 |
確定使用者角色提供足夠的存取權以使用 AWS 服務 建立 SCPs以提供帳戶層級許可限制 |
| 服務管理的 AMS 作業系統映像和自動化 | 應用程式和核心帳戶 |
AMS 不再支援 AMS 提供的 EC2 AMIs 中包含的自訂和啟動指令碼 AMS 提供的 EC2 AMIs仍可在您的離職帳戶中使用 AMS 提供的 Systems Manager Automation Runbook 未共用,不再可供使用 |
離職後,AMS 提供AMIs, 依賴 AMS 提供的 Systems Manager Automation Runbook 的操作程序可能會失敗 |
檢閱和更新依賴 AMS 提供的 AMIs 或 Systems Manager Automation Runbook 的任何建置或操作程序 |
| 共享服務基礎設施 | 核心帳戶 | AMS 存取已移除,且 AMS 不再管理共用元件,包括 AMS Managed Active Directory AWS Transit Gateway,以及 AWS Organizations | 共用基礎設施失去管理 | 重設 AMS Managed Active Directory 的管理員存取權,並擔任共用服務元件的管理 |
| 報告 | 應用程式和核心帳戶 | AMS 不再收集彙總報告的帳戶或資源層級詳細資訊 | 無法深入了解營運和業務指標 (備份和修補涵蓋範圍、變更管理和事件活動) | 使用自己的解決方案取代跨帳戶所需的任何彙總資料報告 |
| AMS 客戶團隊和服務台 | 應用程式和核心帳戶 | AMS 帳戶團隊 (CSDM、CA) 和 AMS 操作服務台不再支援離職帳戶 | 在 AMS 設計的多帳戶登陸區域架構和相關元件方面擁有專業知識,失去營運支援 | 確保有足夠的人員並熟悉帳戶結構和資源,以支援環境中的操作 |
存取替代方案
以下是在離開 AMS 帳戶後保留 EC2 堆疊存取權的替代方法:
使用 Session Manager 存取具有更高許可的 EC2 執行個體,而不需要堡壘或傳入網路存取。如需詳細資訊,請參閱AWS Systems Manager Session Manager。
使用新的網域登入資料將 EC2 執行個體重新加入不同的 Active Directory 網域。如果您使用 AWS Directory Service,請參閱將 EC2 執行個體加入您的 AWS Managed Microsoft AD 目錄。
使用您透過其他其中一種存取方法或透過 Run Command 建立的本機使用者帳戶。 AWS Systems Manager
停用 AMS EC2 啟動指令碼
Linux 作業系統
使用分發的套件管理員解除安裝ams-modules套件。例如,對於 Amazon Linux 2,請使用 yum remove ams-modules。
Windows 作業系統
若要在 Windows 中停用 EC2 啟動指令碼,請完成下列步驟:
Windows Server 2008/2012/2012r2/2016/2019:
從任務排程器停用或移除 Managed Services Startup 排程任務。若要列出排程任務,請執行
Get-ScheduledTask -TaskName '*Ec2*'命令。Windows Server 2022:
移除 EC2Launch v2 任務。此任務
Initialize-AMSBoot會在執行個體postReady上的 C:\ProgramData\Amazon\EC2Launch\config\agent-config.yml 階段中執行。以下是範例 的程式碼片段agent-config.yml:{ "task": "executeScript", "inputs": [ { "frequency": "always", "type": "powershell", "runAs": "localSystem" } ] }(選用) 移除下列檔案內容:
C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.* C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*
PBIS Open/Enterprise (AD Bridge)
若要判斷您使用的是 PBIS Open 或 PBIS Enterprise (AD Bridge) 版本,請在 Linux EC2 受管執行個體中執行下列命令:
yum info | grep pbis
以下是顯示 PBIS Enterprise (AD Bridge) 的範例輸出:
Name : pbis-enterprise From repo : pbise Name : pbis-enterprise-devel Repo : pbise Description : The pbis-enterprise-devel package includes the development
PBIS 開啟
PBIS Open 是 BeyondTrust 不再支援的已棄用產品。如需詳細資訊,請參閱 BeyondTrust pbis-open 文件
AD Bridge (PBIS Enterprise)
您可以執行下列任一作業:
續約授權並繼續操作 AD Bridge。請聯絡 BeyondTrust 以討論授權和支援。
停止使用 AD Bridge。執行下列 Shell 命令,從 Linux 受管執行個體中移除 PBIS-Enterprise 套件。如需詳細資訊,請參閱 BeyondTrust 文件離開網域並解除安裝 AD Bridge Agent
。 $ sudo /opt/pbis/bin/uninstall.sh purge
離開 AMS 受管 Active Directory 網域而不移除 PBIS 代理程式
您可以選擇離開 AMS 受管 Active Directory,而不移除 PBIS 代理程式。根據您的作業系統,使用下列其中一個解決方案:
Trend Micro Deep Security
使用下列其中一個選項來繼續或停止使用 Trend Micro Deep Security:
繼續使用
(如果要卸任整個 MALZ) 核心帳戶卸任後,請將卸任的應用程式帳戶重新連線至現有的 Trend Micro Deep Security Manager (DSM),並在共用服務帳戶中維護授權。如需詳細資訊,請參閱新增 AWS 雲端帳戶
和檢查您的授權資訊 。 登入共用服務帳戶並導覽至 Secrets Manager 主控台。
擷取存放在
/ams/eps/路徑中的 DSM 主控台管理員登入資料。登入 DSM 主控台,網址為 https://https://dsm.sentinel.int
。 選擇使用跨帳戶角色,然後輸入
arn:aws:iam::ACCOUNTID:role/mc_eps_cross_account_role。將 ACCOUNTID 取代為離職的應用程式帳戶 ID。選擇下一步。
等待幾分鐘讓 DSM 處理帳戶探索,並顯示同步成功。
將已離職的應用程式帳戶重新連線至新的 Trend Micro DSM 安裝。如需詳細資訊,請參閱啟用和保護代理
程式和啟用代理程式 。 將離職應用程式帳戶重新連線至 Trend Micro Cloud One。如需詳細資訊,請參閱從 Deep Security 遷移至 Workload Security
,以及從內部部署 DSM 遷移 。
停用用量
從離職的應用程式帳戶解除安裝 Trend Micro Deep Security Agents。如需詳細資訊,請參閱解除安裝 Deep Security
。
