As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Extraia as contas multicontas da landing zone do AMS
<a name="offboarding-malz"></a>

 Há dois tipos de AWS contas que você pode excluir da landing zone multiconta do AMS Advanced:
+ Contas de aplicativos
+ Contas principais

Para desativar todas as contas da sua landing zone multiconta do AMS, você deve desativar todas as contas do Aplicativo antes de desativar as contas principais.

Para assumir e continuar operando cargas de trabalho em contas externas de aplicativos ou contas principais, certifique-se de revisar esta documentação com sua equipe de contas do AMS. Esta documentação descreve as mudanças que o AMS realiza durante o processo externo.

## Tarefas a serem concluídas para operação contínua de contas externas
<a name="task-cont-ops"></a>

As tarefas a seguir são necessárias para a operação contínua das contas que você retirou da landing zone de várias contas do AMS:
+ **Ative o modo Desenvolvedor:** para obter mais permissões para suas contas, ative o modo Desenvolvedor antes de desvincular as contas de aplicativos do AMS. Ao ativar o modo Desenvolvedor, você pode fazer as alterações necessárias com mais facilidade para se preparar para a desativação. Não tente remover ou modificar os recursos da infraestrutura do AMS. Se você excluir recursos de infraestrutura do AMS, talvez o AMS não consiga desvincular sua conta com sucesso. Para obter informações sobre como ativar o modo Desenvolvedor, consulte[Introdução ao modo AMS Advanced Developer](developer-mode-implement.md). 

   Se você não conseguir concluir as alterações necessárias para se preparar para a desativação depois de ativar o modo Desenvolvedor, entre em contato com a equipe da sua conta do AMS para discutir seus requisitos. 
+ **Escolha um método alternativo para o acesso à pilha do EC2:** depois de desativar as contas de aplicativos do AMS, você não poderá usar RFCs para acessar os recursos da pilha. [Mudanças de desembarque](#offboarding-malz-offboarding-changes)Revise e escolha um método de acesso alternativo para manter o acesso às suas pilhas. Para obter mais informações, consulte [Alternativas de acesso](#offboarding-malz-access-alternatives).

## Contas externas do aplicativo AMS
<a name="offboarding-malz-app-account"></a>

Para remover contas de aplicativos do seu ambiente de landing zone com várias contas, conclua as seguintes etapas para cada conta:

1.  Verifique se não há nenhuma abertura RFCs na conta. Para obter mais informações, consulte [Crie, clone, atualize, encontre e cancele RFCs](ex-rfc-use-examples.md).

1.  Verifique se você pode acessar o endereço de e-mail do usuário principal ou raiz da conta.

1. Na conta do aplicativo, envie um RFC com a conta do [aplicativo \| Confirme o tipo de alteração de desligamento (ct-2wlfo2jxj2rkj](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html)). No RFC, especifique a conta do aplicativo a ser desativada.

1. Na conta de gerenciamento, envie um RFC com o tipo de alteração Conta de [gerenciamento \| Conta de aplicativo externo (ct-0vdiy51oyrhhm](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html)). No RFC, especifique a conta do aplicativo a ser desativada. Além disso, indique se você deseja excluir ou reter o anexo do Transit Gateway na landing zone.

1. Para garantir que o faturamento do AMS seja interrompido, notifique seu CSDM de que você desembarcou a conta.

O seguinte ocorre depois que a conta do aplicativo é desativada:
+  Todos os componentes são desassociados dos serviços do AMS, mas seus recursos criados permanecem na conta. Você pode optar por manter ou fechar a conta externa do AMS.
+ As contas principais e outras contas de aplicativo restantes funcionam normalmente após a desativação de uma conta de aplicativo.
+  O faturamento do AMS é interrompido, mas o AWS faturamento não é interrompido até que você feche a conta. Para obter mais informações, consulte [O que você precisa saber antes de fechar sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations).
+  Se uma conta for fechada, ela ficará visível em sua organização no `suspended` estado por 90 dias. Depois de 90 dias, a conta fechada é removida permanentemente e não é mais visível em sua organização.
+ Depois que a conta for encerrada, você ainda poderá entrar e registrar um caso de suporte ou contato Suporte por 90 dias.
+  Após 90 dias, qualquer conteúdo que permaneça na conta será excluído permanentemente e os AWS serviços restantes serão encerrados.

### Perguntas frequentes sobre a desativação da conta do aplicativo
<a name="offboarding-malz-app-account-faq"></a>

**P: Posso usar minhas funções federadas do IAM para continuar acessando uma conta de aplicativo que eu removi da minha landing zone de várias contas do AMS?**  
Sim. As [funções padrão criadas pelo AMS AWS Identity and Access Management (IAM)](defaults-user-role.md) permanecem disponíveis na conta após a desativação do AMS. No entanto, essas funções e políticas foram projetadas para uso com o gerenciamento de acesso do AMS. Para fornecer o acesso necessário aos seus usuários, talvez seja necessário implantar seus próprios recursos do IAM.

**P: Como faço para obter acesso total a uma conta do aplicativo que eu removi da minha landing zone com várias contas do AMS?**  
As contas de aplicativos externos são movidas para a Unidade Organizacional (OU) **obsoleta** na estrutura da conta. AWS Organizations Essa mudança elimina as restrições de acesso ao SCP que anteriormente bloqueavam o acesso do usuário root. Para obter informações sobre como redefinir as credenciais do usuário raiz, consulte [Redefinir uma senha de usuário raiz perdida ou esquecida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html).

**P: Quais alterações são feitas durante a desativação da conta do aplicativo?**  
Para obter informações sobre as ações que o AMS executa quando o serviço exclui contas, consulte[Mudanças de desembarque](#offboarding-malz-offboarding-changes).

**P: Posso desativar uma conta de aplicativo sem desconectá-la do gateway de trânsito?**  
 Sim. Use o tipo de alteração [Conta de gerenciamento \| Conta de aplicativo externo](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html) (ct-0vdiy51oyrhhm) para enviar a RFC e especifique o parâmetro como. `DeleteTransitGatewayAttachment` `False`

**P: Quanto tempo é necessário para desativar uma conta do aplicativo?**  
 Ao usar o tipo [de alteração da Conta de gerenciamento \| Conta de aplicativo externo](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html) (ct-0vdiy51oyrhhm), conclua em 1 hora. RFCs 

**P: É obrigatório que eu feche a conta externa?**  
Não. O encerramento da conta após a desativação do AMS não é obrigatório. Durante o processo de desligamento, o AMS remove o acesso e o gerenciamento de sua AWS conta, mas sua conta e seus recursos dentro da conta permanecem. É importante observar que, após a desativação do AMS, você é o único responsável por gerenciar e manter sua AWS conta e seus recursos. O AMS não é responsável por quaisquer problemas, incidentes ou interrupções no serviço que possam ocorrer em sua conta após a conclusão do processo de desligamento. Para obter mais informações, consulte [Como faço para fechar minha AWS conta?](https://aws.amazon.com/premiumsupport/knowledge-center/close-aws-account/) .

**P: Se eu enviar uma solicitação de encerramento de conta, todos os recursos existentes serão excluídos imediatamente?**  
Não. O encerramento da conta não encerra seus recursos. Os recursos na conta são encerrados automaticamente 90 dias após a solicitação de encerramento. O faturamento do AMS é interrompido, mas o faturamento de AWS recursos não para até você fechar a conta. Para obter mais informações, consulte [O que você precisa saber antes de fechar sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations).

**P: Posso agendar a desativação de uma conta do aplicativo?**  
Sim. Você pode RFCs programar o para ser executado em um horário específico. No entanto, a [conta do aplicativo \| Confirmar desativação da](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) RFC deve ser concluída antes que você possa agendar a [conta de gerenciamento \| RFC da conta de aplicativo externa](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). Para obter mais informações, consulte [Programação de RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-scheduling.html).

### Desativação da conta do aplicativo RACI
<a name="offboarding-malz-app-account-raci"></a>
+  **R**: Parte responsável. A parte responsável por concluir a tarefa listada. 
+  **R**: Parte responsável. A parte que aprova a tarefa concluída. 
+  **C**: Parte consultada. Uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto, e com quem há comunicação bilateral. 
+  **I**: Parte informada. Uma parte que é informada sobre o progresso, geralmente somente após a conclusão da tarefa ou do resultado final. 


|  Atividade  |  Cliente  |  AWS Managed Services (AMS)  | 
| --- | --- | --- | 
|  Pré-requisitos  |   |   | 
|  Verifique o acesso ao endereço de e-mail raiz para cada ID de AWS conta que será removida  |  R  |  C  | 
|  Analise a documentação do AMS sobre as ações recomendadas do cliente e prepare as contas para a desativação do AMS  |  R  |  C  | 
|  Se necessário, envie um RFC para ativar o modo Desenvolvedor para preparar contas para desativação do AMS  |  R  |  eu  | 
|  Se necessário, escolha um método alternativo para acesso à pilha do EC2.  |  R  |  eu  | 
|  Desembarque  |   |   | 
|  Enviar RFCs para confirmar e solicitar a exclusão das contas do Aplicativo  |  R  |  eu  | 
|  Remova os componentes do AMS das contas de aplicativos  |  eu  |  R  | 
|  Notifique o AMS CSDM sobre contas removidas para interromper o faturamento do AMS  |  R  |  eu  | 
|  Pós-desembarque  |   |   | 
|  Redefina a senha da conta de usuário raiz e verifique o acesso root em contas externas  |  R  |  C  | 
|  Feche a conta ou siga as orientações do AMS sobre as ações recomendadas do cliente na documentação de desligamento do AMS para continuar operando as contas  |  R  |  C  | 

## Contas principais externas
<a name="offboarding-core-accounts"></a>

 Para desativar contas principais do landing zone com várias contas, conclua as seguintes etapas: 

1. Verifique se todas as contas do aplicativo na landing zone foram removidas do AMS.

1. Verifique se você não tem contas abertas RFCs . Para obter mais informações, consulte [Crie, clone, atualize, encontre e cancele RFCs](ex-rfc-use-examples.md).

1. Verifique se você pode acessar o endereço de e-mail do usuário principal ou raiz de todas as contas principais. Para obter mais informações, consulte [Contas de várias contas da Landing Zone](malz-net-arch-accounts.md).

1. Verifique se você pode acessar o número de telefone do usuário principal ou raiz da conta de gerenciamento. Use a função `AWSManagedServicesBillingRole` do IAM para atualizar o número de telefone. Para obter mais informações, consulte [Como faço para atualizar meu número de telefone associado à minha AWS conta?](https://repost.aws/knowledge-center/update-phone-number) .

1.  Faça login na sua conta de gerenciamento da zona de pouso do AMS e envie uma solicitação de serviço do AMS. Na solicitação de serviço, especifique desembarcar toda a sua landing zone.

 O seguinte ocorre após a desativação das contas principais: 
+  Todos os componentes estão desassociados dos serviços do AMS, mas alguns AWS recursos permanecem na conta. Você pode optar por manter ou fechar as contas principais externas do AMS. 
+  O faturamento do AMS é interrompido, mas o AWS faturamento não é interrompido até que você feche a conta. Para obter mais informações, consulte [O que você precisa saber antes de fechar sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations).
+  Se uma conta for fechada, ela ficará visível em sua organização no `suspended` estado por 90 dias. Após 90 dias, a conta fechada do membro será removida permanentemente e não estará mais visível em sua organização. 
+  Depois que a conta for encerrada, você ainda poderá entrar e registrar um caso de suporte ou contato Suporte por 90 dias. 
+  Depois que a conta for fechada por 90 dias, qualquer conteúdo que permaneça na conta será excluído permanentemente e os AWS serviços restantes serão encerrados. 

### Perguntas frequentes sobre a desativação da conta principal
<a name="offboarding-malz-core-account-faq"></a>

**P: Posso usar minhas funções federadas do IAM para continuar acessando as contas principais externas?**  
Sim. As [funções padrão criadas pelo AMS AWS Identity and Access Management (IAM)](defaults-user-role.md) permanecem disponíveis na conta externa. No entanto, essas funções e políticas foram projetadas para uso com o gerenciamento de acesso do AMS. Para fornecer o acesso necessário aos seus usuários, talvez seja necessário implantar seus próprios recursos do IAM.

**P: Como faço para obter acesso total à conta MALZ de gerenciamento, serviços compartilhados, rede ou outra [conta MALZ](malz-net-arch-accounts.md) que não seja do aplicativo após sair da landing zone de várias contas do AMS?**  
Após a desativação, siga as instruções em [Redefinir uma senha de usuário raiz perdida ou esquecida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) para usar as credenciais do usuário principal (raiz) para acessar contas principais que não sejam a conta de gerenciamento. Ao contrário de outros tipos de conta, a conta de gerenciamento mantém um dispositivo de autenticação multifator (MFA) inacessível que está associado ao usuário raiz para evitar o uso. Para recuperar o acesso root, você deve seguir o processo de recuperação do [dispositivo de MFA perdido](https://aws.amazon.com/blogs/security/reset-your-aws-root-accounts-lost-mfa-device-faster-by-using-the-aws-management-console/).

**P: Quais mudanças são feitas durante a desativação da conta principal?**  
Para obter informações sobre as ações que o AMS executa quando o serviço exclui contas, consulte[Mudanças de desembarque](#offboarding-malz-offboarding-changes).

**P: Quanto tempo leva para ser concluída a desativação da conta principal?**  
O processo de desativação da conta principal normalmente leva até 30 dias para ser concluído. No entanto, para garantir que todas as etapas necessárias sejam concluídas corretamente, você deve iniciar a solicitação de desligamento pelo menos 7 dias antes do início do desligamento. Para facilitar uma transição fácil, planeje com antecedência e envie sua solicitação de saída com antecedência.

**P: Como faço para gerenciar componentes compartilhados após a desativação do AMS?**  
O AMS Managed Active Directory e outros componentes de infraestrutura de serviços compartilhados foram projetados para acesso do operador do AMS. Talvez seja necessário atualizar os grupos AWS Organizations de segurança, a política de controle de serviços (SCP) do Amazon Elastic Compute Cloud (Amazon EC2) ou fazer outras alterações para manter o acesso total a esses componentes.

**P: Posso fechar contas principais externas?**  
Por padrão, as contas de aplicativos têm várias dependências nas contas MALZ Core, como AWS Organizations associação, conectividade de rede de gateway de trânsito e resolução de DNS por meio do AMS Managed Active Directory. Depois de resolver essas dependências, você pode descomissionar e fechar a conta Core externa. Para obter mais informações, consulte [Contas de várias contas da Landing Zone](malz-net-arch-accounts.md).

### Desativação da conta principal RACI
<a name="offboarding-malz-core-account-raci"></a>
+  **R**: Parte responsável. A parte responsável por concluir a tarefa listada. 
+  **R**: Parte responsável. A parte que aprova a tarefa concluída. 
+  **C**: Parte consultada. Uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto, e com quem há comunicação bilateral. 
+  **I**: Parte informada. Uma parte que é informada sobre o progresso, geralmente somente após a conclusão da tarefa ou do resultado final. 


|  Atividade  |  Cliente  |  AWS Managed Services (AMS)  | 
| --- | --- | --- | 
|  Pré-requisitos  |   |   | 
|  Verifique o acesso ao endereço de e-mail raiz para cada ID de conta da AWS que será removida  |  R  |  C  | 
|  Verifique o acesso e atualize o número de telefone do usuário raiz da conta de gerenciamento  |  R  |  C  | 
|  Analise a documentação do AMS sobre as ações recomendadas do cliente e prepare as contas para a desativação do AMS  |  R  |  C  | 
|  Desembarque  |   |   | 
|  Envie uma solicitação de serviço para solicitar o desembarque da landing zone  |  R  |  eu  | 
|  Componentes AMS externos das contas principais  |  eu  |  R  | 
|  Pós-desembarque  |   |   | 
|  Redefina a senha da conta de usuário raiz e verifique o acesso root em contas externas  |  R  |  C  | 
|  Feche as contas ou siga as orientações da AMS sobre as ações recomendadas do cliente na documentação de desligamento da AMS para continuar operando as contas  |  R  |  C  | 

## Mudanças de desembarque
<a name="offboarding-malz-offboarding-changes"></a>

 A tabela a seguir descreve as ações que o AMS toma para desembarcar na landing zone de várias contas, os impactos potenciais e as ações recomendadas. 


|  Componente  |  Account type (Tipo de conta)  |  Ações tomadas para desembarcar  |  Impactos potenciais  |  Ação recomendada pelo cliente  | 
| --- | --- | --- | --- | --- | 
|  Gerenciamento de acesso  |  Contas de aplicativos  |  Após a desativação, os RFCs de acesso à pilha para just-in-time acesso com limite de tempo não podem mais ser enviados para acessar pilhas do EC2 por meio de hosts do AMS Bastion <br /> O AMS não gerencia mais componentes relacionados ao acesso em nenhuma pilha de recursos do EC2 existente (agente aberto do PBIS, scripts de junção de domínio)  |  Não é possível usar o AMS Bastions por meio do RFS para acessar instâncias do EC2 <br /> As instâncias do EC2 iniciadas a partir de um fornecimento não AMS AMIs não são associadas ao domínio gerenciado do Active Directory <br /> Se não forem removidos, os scripts de inicialização do AMS nas pilhas de recursos existentes podem produzir erros devido à falta de dependências do AMS e impedir a adesão a um domínio diferente  |  Use métodos alternativos para acessar a instância do EC2 (consulte[Alternativas de acesso](#offboarding-malz-access-alternatives)) <br /> Remova os scripts de inicialização do AMS das pilhas de recursos do EC2 existentes (consulte) [Desativar scripts de inicialização do AMS EC2](#offboarding-malz-disable-ec2-launch-scripts)  | 
|  Gerenciamento de acesso (continuação)  |  Contas principais  |  Se você migrou do PBIS Open para o PBIS Enterprise (AD Bridge), o AMS não renova mais o licenciamento após a desativação da conta principal  |  Se a licença do PBIS Enterprise puder expirar, as credenciais do Active Directory não serão válidas para as pilhas de instâncias EC2 existentes baseadas em Linux  |  Se você migrou para o PBIS Enterprise (AD Bridge), decida se deseja manter o licenciamento ou descomissionar (consulte) [PBIS Open/Enterprise (Ponte AD)](#offboarding-malz-pbis-open-enterprise)  | 
|  Registro, monitoramento e Incident/Event gerenciamento  |  Aplicativos e contas principais  |  Os componentes do AMS a [Alertas do monitoramento de linha de base no AMS](monitoring-default-metrics.md) serem implantados são removidos <br /> Os CloudWatch alarmes existentes da Amazon implantados permanecem, mas não criam mais incidentes de AMS <br /> AWS Config as autorizações de agregação do AMS e da conta de segurança MALZ Core são removidas <br /> AWS Config as regras permanecem implantadas e a Amazon GuardDuty permanece habilitada, mas não cria mais incidentes de AMS  |  Recursos recém-criados não têm monitoramento de linha de base e alarmes do AMS aplicados <br /> Alarmes métricos de infraestrutura e eventos de segurança não geram mais incidentes de AMS <br /> AWS Config não está mais agregado em uma conta central  |  Defina, capture e analise métricas de operações para visualizar os eventos da carga de trabalho e tomar as medidas apropriadas. <br /> Implemente qualquer fluxo de trabalho de alerta necessário para continuar aplicando o monitoramento operacional e os alarmes necessários em novos recursos e para receber alertas de segurança da AWS Config Amazon GuardDuty.  | 
|  Gerenciamento de continuidade (backup e restauração)  |  Contas de aplicativos  |  O AMS não monitora mais as tarefas de backup nem executa solicitações de backup e restauração <br /> Os cofres de backup padrão do AMS, a chave de criptografia de backup e a função de backup permanecem  |  Falhas na operação de backup podem não ser notadas  |  Monitore e revise as configurações do plano de backup  | 
|  Gerenciamento de patches  |  Aplicativos e contas principais  |  O AMS não monitora mais as operações de aplicação de patches para uma execução bem-sucedida nem executa correções manuais <br /> O AMS não atualiza mais os componentes da infraestrutura do AMS <br /> As linhas de base do patch fornecidas pelo AMS são mantidas <br /> Os runbooks de automação de AWS Systems Manager patches fornecidos pelo AMS não são compartilhados e não estão mais disponíveis para uso  |  Falhas na operação de correção podem não ser notadas <br /> As configurações de patch existentes que dependem dos runbooks do Systems Manager Automation fornecidos pelo AMS devem ser reconfiguradas para continuarem ininterruptas.  |  Revise e reconfigure as configurações de patches conforme necessário  | 
|  Gerenciamento de rede  |  Contas de aplicativos  |  Se especificado, o anexo do gateway de trânsito na conta externa do aplicativo será removido  |  A conta de aplicativo externo não pode mais usar um gateway de trânsito para acessar serviços compartilhados, como o Active Directory gerenciado ou outras contas de aplicativos  |  Especifique DeleteTransitGatewayAttachment como False manter a conectividade do gateway de trânsito  | 
|  Gerenciamento de segurança  |  Contas de aplicativos  |  A conta é separada do console central do Trend Micro DSM. Além disso, os agentes de endpoint não encaminham mais alertas por meio do processo de incidentes do AMS <br /> Os agentes da Trend Micro permanecem instalados, mas não são mais gerenciados ou atualizados pelo AMS <br /> As personalizações de AMI fornecidas pela AMI que implantam o agente da Trend Micro não são mais mantidas ou atualizadas pelo AMS  |  As detecções de malware nos endpoints da instância EC2 podem não ser notadas <br /> O agente Trend micro não é implantado em instâncias do EC2 que são iniciadas de forma não fornecida pelo AMS AMIs  |  Considere as opções para continuar ou descontinuar a Trend Micro (consulte[Trend Micro Deep Security](#offboarding-malz-trend-micro-deep-sec))  | 
|  Gerenciamento de segurança (continuação)  |  Contas principais  |  A infraestrutura do Trend Micro DSM é mantida nas contas de Serviços Compartilhados, mas não é mais mantida ou atualizada pelo AMS <br /> O Trend Micro DSM não encaminha mais alertas por meio do processo de incidentes do AMS  |  As detecções de malware nos endpoints da instância EC2 podem passar despercebidas <br /> A proteção de endpoints da instância EC2 pode ser afetada se a infraestrutura não for mantida (atualizações de definições, licenciamento etc.)  |  Decida se deseja continuar ou descontinuar a Trend Micro (consulte (consulte[Trend Micro Deep Security](#offboarding-malz-trend-micro-deep-sec))  | 
|  Gerenciamento de alterações  |  Aplicativos e contas principais  |  O console RFC e a API do AMS foram removidos <br /> As políticas de controle de serviço personalizadas do AMS (SCPs) que contêm restrições de acesso no nível da conta são desanexadas durante a desativação da conta do aplicativo e excluídas durante a desativação da conta principal  |  Você deve usar uma AWS API nativa para criar novos recursos, alterar recursos existentes ou atualizar CloudFormation pilhas existentes <br /> As restrições de acesso não são mais impostas no nível da conta por meio do AMS fornecido SCPs  |  Certifique-se de que as funções de usuário forneçam acesso suficiente para usar AWS os serviços <br /> Crie SCPs para fornecer restrições de permissão em nível de conta  | 
|  Imagens e automações do AMS OS para gerenciamento de serviços  |  Aplicativos e contas principais  |  O AMS não fornece mais suporte para personalizações e scripts de lançamento incluídos no EC2 fornecido pelo AMS AMIs <br /> O AMS, desde que o EC2 AMIs permaneça disponível em suas contas externas <br /> Os runbooks do Systems Manager Automation fornecidos pelo AMS não são compartilhados e não estão mais disponíveis para uso  |  Após a desativação, o AMS forneceu o AMIs sinal de CloudFormation envio cfn `FAILURE` devido à falta de dependências nos componentes do AMS <br /> Os processos operacionais que dependem dos runbooks do Systems Manager Automation fornecidos pelo AMS podem falhar  |  Revise e atualize todos os processos operacionais ou de compilação que dependam do AMS fornecido AMIs ou dos runbooks do Systems Manager Automation  | 
|  infraestrutura de serviços compartilhados  |  Contas principais  |  O acesso ao AMS foi removido e o AMS não gerencia mais componentes compartilhados, incluindo o AMS Managed Active Directory AWS Transit Gateway,, e AWS Organizations  |  Perda de gerenciamento da infraestrutura compartilhada  |  Redefina o acesso do administrador ao AMS Managed Active Directory e assuma o gerenciamento dos componentes de serviços compartilhados  | 
|  Relatórios  |  Aplicativos e contas principais  |  O AMS não coleta mais detalhes da conta ou do nível do recurso para gerar relatórios agregados  |  Perda de informações sobre métricas operacionais e comerciais (cobertura de backup e patches, gerenciamento de mudanças e atividade de incidentes)  |  Substitua qualquer relatório de dados agregado necessário em todas as contas por sua própria solução  | 
|  Equipe de contas e central de atendimento do AMS  |  Aplicativos e contas principais  |  A equipe de contas do AMS (CSDM, CA) e a central de serviços de operações do AMS não oferecem mais suporte às contas externas  |  Perda de suporte operacional com experiência na arquitetura de landing zone de várias contas projetada pela AMS e componentes relacionados  |  Certifique-se de que haja pessoal suficiente e familiaridade com a estrutura e os recursos da conta para apoiar as operações no ambiente  | 

## Alternativas de acesso
<a name="offboarding-malz-access-alternatives"></a>

A seguir estão os métodos alternativos para reter o acesso à sua pilha do EC2 depois de desativar as contas do AMS:
+ **Use o Session Manager** para acessar instâncias do EC2 com permissões elevadas sem exigir bastiões ou acesso à rede de entrada. Para obter mais informações, consulte [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html).
+ **Reunir instâncias do EC2 a um domínio diferente do Active Directory** com novas credenciais de domínio. Se você usa Directory Service, consulte [Unir uma instância do EC2 ao seu AWS Managed Microsoft AD diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_join_instance.html).
+ **Use contas de usuário locais** que você criou por meio de um dos outros métodos de acesso ou por meio do [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html).

## Desativar scripts de inicialização do AMS EC2
<a name="offboarding-malz-disable-ec2-launch-scripts"></a>

### Sistemas operacionais Linux
<a name="disable-launch-scripts-linux"></a>

Use o gerenciador de pacotes da sua distribuição para desinstalar o `ams-modules` pacote. Por exemplo, para uso do Amazon Linux 2`yum remove ams-modules`.

### Sistemas operacionais do Windows
<a name="disable-launch-scripts-windows"></a>

Para desativar os scripts de inicialização do EC2 no Windows, conclua as seguintes etapas:

1. Windows Server 2008/2012/2012r2/2016/2019:

   Desative ou remova a tarefa agendada do Managed Services Startup do Agendador de Tarefas. Para listar as tarefas agendadas, execute o `Get-ScheduledTask -TaskName '*Ec2*'` comando.

   Windows Server 2022:

   Remova a [tarefa EC2 Launch v2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2launch-v2-settings.html#ec2launch-v2-schema-agent-config). Essa tarefa é executada `Initialize-AMSBoot` em `postReady` estágio em C:\\\\ AmazonProgramData\\ EC2 Launch\\ config\\ agent-config.yml na instância. Veja a seguir um trecho de um exemplo: `agent-config.yml`

   ```
   {
   	"task": "executeScript",
   	"inputs": [
   		{
   			"frequency": "always",
   			"type": "powershell",
   			"runAs": "localSystem"
   		}
   	]
   }
   ```

1. (Opcional) Remova o seguinte conteúdo do arquivo:

   ```
   C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
   C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*
   ```

## PBIS Open/Enterprise (Ponte AD)
<a name="offboarding-malz-pbis-open-enterprise"></a>

Para determinar se você usa a edição PBIS Open ou PBIS Enterprise (AD Bridge), execute o seguinte comando em uma instância gerenciada do Linux EC2:

```
yum info | grep pbis
```

Veja a seguir um exemplo de saída que mostra o PBIS Enterprise (AD Bridge):

```
Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development
```

### PBIS Aberto
<a name="pbis-open"></a>

O PBIS Open é um produto obsoleto que BeyondTrust não oferece mais suporte. Para obter mais informações, consulte a documentação do [BeyondTrust pbis-open](https://github.com/BeyondTrust/pbis-open/wiki/Documentation).

### Ponte AD (PBIS Enterprise)
<a name="ad-bridge"></a>

Você pode executar uma das seguintes ações:
+ **Renove o licenciamento e continue operando o AD Bridge.** Entre em contato BeyondTrust para discutir o licenciamento e o suporte.
+ **Interrompa o uso do AD Bridge.** Execute o comando Shell a seguir para remover o pacote PBIS-Enterprise das instâncias gerenciadas do Linux. Para obter mais informações, consulte a BeyondTrust documentação [Sair de um domínio e desinstalar o AD Bridge Agent](https://www.beyondtrust.com/docs/ad-bridge/getting-started/installation/leaving-domain.htm).

  ```
  $ sudo /opt/pbis/bin/uninstall.sh purge
  ```

### Sair do domínio do Active Directory gerenciado pelo AMS sem remover o agente PBIS
<a name="leave-pbis-agent"></a>

Você tem a opção de deixar o Active Directory gerenciado pelo AMS sem remover o agente PBIS. Use uma das soluções a seguir, dependendo do seu sistema operacional:

------
#### [ Linux operating systems ]

Use o PBIS do AD gerenciado pelo AMS para executar o seguinte comando shell para desassociar-se de uma instância Linux EC2. Para obter mais informações, consulte a documentação do [BeyondTrust pbis-open](https://github.com/BeyondTrust/pbis-open/wiki/Documentation) ou do [BeyondTrust AD Bridge](https://www.beyondtrust.com/docs/ad-bridge), dependendo da versão usada.

```
$ sudo /opt/pbis/bin/domainjoin-cli leave
```

Talvez você veja uma mensagem de erro semelhante à seguinte:

```
Error: LW_ERROR_KRB5_REALM_CANT_RESOLVE [code 0x0000a3e1]
Cannot resolve network address for KDC in requested realm
```

Se esse erro ocorrer, execute os seguintes comandos para excluir o registro do provedor AD e reiniciar `lwsm` os serviços:

```
$ /opt/pbis/bin/regshell dir '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin]'
```

Use a saída do ID do diretório que você recebeu do comando anterior (por exemplo,**A123EXAMPLE.AMAZONAWS.COM**) para executar os seguintes comandos:

```
$ /opt/pbis/bin/regshell delete_tree \
'[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin\DIRECTORYID]'

$ /etc/pbis/redhat/lwsmd restart

$ /opt/pbis/bin/lwsm restart lwreg
```

------
#### [ Windows operating systems ]

```
# Collect hostname and domain name using:

Test-ComputerSecureChannel -verbose

# Disjoin computer from the domain:

netdom remove hostname /domain:domain name /force
```

**nota**  
Certifique-se de desativar ou remover a tarefa agendada do Managed Services Startup, conforme mencionado em[Desativar scripts de inicialização do AMS EC2](#offboarding-malz-disable-ec2-launch-scripts).

------

## Trend Micro Deep Security
<a name="offboarding-malz-trend-micro-deep-sec"></a>

Use uma das seguintes opções para continuar ou interromper o uso do Trend Micro Deep Security:

**Continuar o uso**
+ **(Se desativar todo o MALZ) Após a desativação da conta Core, reconecte as contas externas do Aplicativo ao Trend Micro Deep Security Manager (DSM) existente e mantenha o licenciamento na conta de Serviços compartilhados.** Para obter mais informações, consulte [Adicionar contas AWS na nuvem](https://help.deepsecurity.trendmicro.com/12_0/aws/Add-Computers/add-aws.html?Highlight=account%20sync) e [Verificar as informações da sua licença](https://help.deepsecurity.trendmicro.com/12_0/aws/Manage-Components/ui-admin-licenses.html).

  1. Faça login na conta de serviços compartilhados e navegue até o console do Secrets Manager.

  1. Recupere as credenciais de administrador do console DSM que estão armazenadas no caminho. `/ams/eps/`

  1. Faça login no console DSM em [https://dsm.sentinel.int](https://dsm.sentinel.int/).

  1. Escolha **Usar função entre contas** e, em seguida, insira**arn:aws:iam::ACCOUNTID:role/mc\_eps\_cross\_account\_role**. Substitua **ACCOUNTID pelo ID da conta** do aplicativo externo. 

  1. Escolha **Próximo**.

  1. Aguarde alguns minutos para que o DSM processe a descoberta da conta e mostre que a sincronização foi bem-sucedida.
+ **Reconecte contas externas do aplicativo a uma nova instalação do Trend Micro DSM.** Para obter mais informações, consulte [Ativar e proteger agentes](https://help.deepsecurity.trendmicro.com/12_0/aws/agent-initiated-activation-communication.html?Highlight=activation) e [Ativar o agente](https://help.deepsecurity.trendmicro.com/12_0/aws/Get-Started/Install/activate-agent.html?Highlight=activate%20agent).
+ **Reconecte contas externas do aplicativo ao Trend Micro Cloud One.** Para obter mais informações, consulte [Migrar do Deep Security para o Workload Security](https://help.deepsecurity.trendmicro.com/20_0/on-premise/migration.html) e [Migrar de um](https://cloudone.trendmicro.com/docs/workload-security/migration/) DSM local.

**Interromper o uso**
+ **Desinstale o Trend Micro Deep Security Agents das contas externas do aplicativo.** Para obter mais informações, consulte [Desinstalar o Deep Security](https://help.deepsecurity.trendmicro.com/12_0/aws/Get-Started/Install/ig-uninstall-basic.html?Highlight=uninstall%20agent).