As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Extraia as contas multicontas da landing zone do AMS
<a name="offboarding-malz"></a>

 Há dois tipos de AWS contas que você pode excluir da landing zone multiconta do AMS Advanced:
+ Contas de aplicativos
+ Contas principais

Para desativar todas as contas da sua landing zone multiconta do AMS, você deve desativar todas as contas do Aplicativo antes de desativar as contas principais.

Para assumir e continuar operando cargas de trabalho em contas externas de aplicativos ou contas principais, certifique-se de revisar esta documentação com sua equipe de contas do AMS. Esta documentação descreve as mudanças que o AMS realiza durante o processo externo.

## Tarefas a serem concluídas para operação contínua de contas externas
<a name="task-cont-ops"></a>

As tarefas a seguir são necessárias para a operação contínua das contas que você retirou da landing zone de várias contas do AMS:
+ **Ative o modo Desenvolvedor:** para obter mais permissões para suas contas, ative o modo Desenvolvedor antes de desvincular as contas de aplicativos do AMS. Ao ativar o modo Desenvolvedor, você pode fazer as alterações necessárias com mais facilidade para se preparar para a desativação. Não tente remover ou modificar os recursos da infraestrutura do AMS. Se você excluir recursos de infraestrutura do AMS, talvez o AMS não consiga desvincular sua conta com sucesso. Para obter informações sobre como ativar o modo Desenvolvedor, consulte[Introdução ao modo AMS Advanced Developer](developer-mode-implement.md). 

   Se você não conseguir concluir as alterações necessárias para se preparar para a desativação depois de ativar o modo Desenvolvedor, entre em contato com a equipe da sua conta do AMS para discutir seus requisitos. 
+ **Escolha um método alternativo para o acesso à pilha do EC2:** depois de desativar as contas de aplicativos do AMS, você não poderá usar RFCs para acessar os recursos da pilha. [Mudanças de desembarque](#offboarding-malz-offboarding-changes)Revise e escolha um método de acesso alternativo para manter o acesso às suas pilhas. Para obter mais informações, consulte [Alternativas de acesso](#offboarding-malz-access-alternatives).

## Contas externas do aplicativo AMS
<a name="offboarding-malz-app-account"></a>

Para remover contas de aplicativos do seu ambiente de landing zone com várias contas, conclua as seguintes etapas para cada conta:

1.  Verifique se não há nenhuma abertura RFCs na conta. Para obter mais informações, consulte [Crie, clone, atualize, encontre e cancele RFCs](ex-rfc-use-examples.md).

1.  Verifique se você pode acessar o endereço de e-mail do usuário principal ou raiz da conta.

1. Na conta do aplicativo, envie um RFC com a conta do [aplicativo \$1 Confirme o tipo de alteração de desligamento (ct-2wlfo2jxj2rkj](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html)). No RFC, especifique a conta do aplicativo a ser desativada.

1. Na conta de gerenciamento, envie um RFC com o tipo de alteração Conta de [gerenciamento \$1 Conta de aplicativo externo (ct-0vdiy51oyrhhm](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html)). No RFC, especifique a conta do aplicativo a ser desativada. Além disso, indique se você deseja excluir ou reter o anexo do Transit Gateway na landing zone.

1. Para garantir que o faturamento do AMS seja interrompido, notifique seu CSDM de que você desembarcou a conta.

O seguinte ocorre depois que a conta do aplicativo é desativada:
+  Todos os componentes são desassociados dos serviços do AMS, mas seus recursos criados permanecem na conta. Você pode optar por manter ou fechar a conta externa do AMS.
+ As contas principais e outras contas de aplicativo restantes funcionam normalmente após a desativação de uma conta de aplicativo.
+  O faturamento do AMS é interrompido, mas o AWS faturamento não é interrompido até que você feche a conta. Para obter mais informações, consulte [O que você precisa saber antes de fechar sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations).
+  Se uma conta for fechada, ela ficará visível em sua organização no `suspended` estado por 90 dias. Depois de 90 dias, a conta fechada é removida permanentemente e não é mais visível em sua organização.
+ Depois que a conta for encerrada, você ainda poderá entrar e registrar um caso de suporte ou contato Suporte por 90 dias.
+  Após 90 dias, qualquer conteúdo que permaneça na conta será excluído permanentemente e os AWS serviços restantes serão encerrados.

### Perguntas frequentes sobre a desativação da conta do aplicativo
<a name="offboarding-malz-app-account-faq"></a>

**P: Posso usar minhas funções federadas do IAM para continuar acessando uma conta de aplicativo que eu removi da minha landing zone de várias contas do AMS?**  
Sim. As [funções padrão criadas pelo AMS AWS Identity and Access Management (IAM)](defaults-user-role.md) permanecem disponíveis na conta após a desativação do AMS. No entanto, essas funções e políticas foram projetadas para uso com o gerenciamento de acesso do AMS. Para fornecer o acesso necessário aos seus usuários, talvez seja necessário implantar seus próprios recursos do IAM.

**P: Como faço para obter acesso total a uma conta do aplicativo que eu removi da minha landing zone com várias contas do AMS?**  
As contas de aplicativos externos são movidas para a Unidade Organizacional (OU) **obsoleta** na estrutura da conta. AWS Organizations Essa mudança elimina as restrições de acesso ao SCP que anteriormente bloqueavam o acesso do usuário root. Para obter informações sobre como redefinir as credenciais do usuário raiz, consulte [Redefinir uma senha de usuário raiz perdida ou esquecida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html).

**P: Quais alterações são feitas durante a desativação da conta do aplicativo?**  
Para obter informações sobre as ações que o AMS executa quando o serviço exclui contas, consulte[Mudanças de desembarque](#offboarding-malz-offboarding-changes).

**P: Posso desativar uma conta de aplicativo sem desconectá-la do gateway de trânsito?**  
 Sim. Use o tipo de alteração [Conta de gerenciamento \$1 Conta de aplicativo externo](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html) (ct-0vdiy51oyrhhm) para enviar a RFC e especifique o parâmetro como. `DeleteTransitGatewayAttachment` `False`

**P: Quanto tempo é necessário para desativar uma conta do aplicativo?**  
 Ao usar o tipo [de alteração da Conta de gerenciamento \$1 Conta de aplicativo externo](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html) (ct-0vdiy51oyrhhm), conclua em 1 hora. RFCs 

**P: É obrigatório que eu feche a conta externa?**  
Não. O encerramento da conta após a desativação do AMS não é obrigatório. Durante o processo de desligamento, o AMS remove o acesso e o gerenciamento de sua AWS conta, mas sua conta e seus recursos dentro da conta permanecem. É importante observar que, após a desativação do AMS, você é o único responsável por gerenciar e manter sua AWS conta e seus recursos. O AMS não é responsável por quaisquer problemas, incidentes ou interrupções no serviço que possam ocorrer em sua conta após a conclusão do processo de desligamento. Para obter mais informações, consulte [Como faço para fechar minha AWS conta?](https://aws.amazon.com/premiumsupport/knowledge-center/close-aws-account/) .

**P: Se eu enviar uma solicitação de encerramento de conta, todos os recursos existentes serão excluídos imediatamente?**  
Não. O encerramento da conta não encerra seus recursos. Os recursos na conta são encerrados automaticamente 90 dias após a solicitação de encerramento. O faturamento do AMS é interrompido, mas o faturamento de AWS recursos não para até você fechar a conta. Para obter mais informações, consulte [O que você precisa saber antes de fechar sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations).

**P: Posso agendar a desativação de uma conta do aplicativo?**  
Sim. Você pode RFCs programar o para ser executado em um horário específico. No entanto, a [conta do aplicativo \$1 Confirmar desativação da](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) RFC deve ser concluída antes que você possa agendar a [conta de gerenciamento \$1 RFC da conta de aplicativo externa](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). Para obter mais informações, consulte [Programação de RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-scheduling.html).

### Desativação da conta do aplicativo RACI
<a name="offboarding-malz-app-account-raci"></a>
+  **R**: Parte responsável. A parte responsável por concluir a tarefa listada. 
+  **R**: Parte responsável. A parte que aprova a tarefa concluída. 
+  **C**: Parte consultada. Uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto, e com quem há comunicação bilateral. 
+  **I**: Parte informada. Uma parte que é informada sobre o progresso, geralmente somente após a conclusão da tarefa ou do resultado final. 


|  Atividade  |  Cliente  |  AWS Managed Services (AMS)  | 
| --- | --- | --- | 
|  Pré-requisitos  |   |   | 
|  Verifique o acesso ao endereço de e-mail raiz para cada ID de AWS conta que será removida  |  R  |  C  | 
|  Analise a documentação do AMS sobre as ações recomendadas do cliente e prepare as contas para a desativação do AMS  |  R  |  C  | 
|  Se necessário, envie um RFC para ativar o modo Desenvolvedor para preparar contas para desativação do AMS  |  R  |  eu  | 
|  Se necessário, escolha um método alternativo para acesso à pilha do EC2.  |  R  |  eu  | 
|  Desembarque  |   |   | 
|  Enviar RFCs para confirmar e solicitar a exclusão das contas do Aplicativo  |  R  |  eu  | 
|  Remova os componentes do AMS das contas de aplicativos  |  eu  |  R  | 
|  Notifique o AMS CSDM sobre contas removidas para interromper o faturamento do AMS  |  R  |  eu  | 
|  Pós-desembarque  |   |   | 
|  Redefina a senha da conta de usuário raiz e verifique o acesso root em contas externas  |  R  |  C  | 
|  Feche a conta ou siga as orientações do AMS sobre as ações recomendadas do cliente na documentação de desligamento do AMS para continuar operando as contas  |  R  |  C  | 

## Contas principais externas
<a name="offboarding-core-accounts"></a>

 Para desativar contas principais do landing zone com várias contas, conclua as seguintes etapas: 

1. Verifique se todas as contas do aplicativo na landing zone foram removidas do AMS.

1. Verifique se você não tem contas abertas RFCs . Para obter mais informações, consulte [Crie, clone, atualize, encontre e cancele RFCs](ex-rfc-use-examples.md).

1. Verifique se você pode acessar o endereço de e-mail do usuário principal ou raiz de todas as contas principais. Para obter mais informações, consulte [Contas de várias contas da Landing Zone](malz-net-arch-accounts.md).

1. Verifique se você pode acessar o número de telefone do usuário principal ou raiz da conta de gerenciamento. Use a função `AWSManagedServicesBillingRole` do IAM para atualizar o número de telefone. Para obter mais informações, consulte [Como faço para atualizar meu número de telefone associado à minha AWS conta?](https://repost.aws/knowledge-center/update-phone-number) .

1.  Faça login na sua conta de gerenciamento da zona de pouso do AMS e envie uma solicitação de serviço do AMS. Na solicitação de serviço, especifique desembarcar toda a sua landing zone.

 O seguinte ocorre após a desativação das contas principais: 
+  Todos os componentes estão desassociados dos serviços do AMS, mas alguns AWS recursos permanecem na conta. Você pode optar por manter ou fechar as contas principais externas do AMS. 
+  O faturamento do AMS é interrompido, mas o AWS faturamento não é interrompido até que você feche a conta. Para obter mais informações, consulte [O que você precisa saber antes de fechar sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations).
+  Se uma conta for fechada, ela ficará visível em sua organização no `suspended` estado por 90 dias. Após 90 dias, a conta fechada do membro será removida permanentemente e não estará mais visível em sua organização. 
+  Depois que a conta for encerrada, você ainda poderá entrar e registrar um caso de suporte ou contato Suporte por 90 dias. 
+  Depois que a conta for fechada por 90 dias, qualquer conteúdo que permaneça na conta será excluído permanentemente e os AWS serviços restantes serão encerrados. 

### Perguntas frequentes sobre a desativação da conta principal
<a name="offboarding-malz-core-account-faq"></a>

**P: Posso usar minhas funções federadas do IAM para continuar acessando as contas principais externas?**  
Sim. As [funções padrão criadas pelo AMS AWS Identity and Access Management (IAM)](defaults-user-role.md) permanecem disponíveis na conta externa. No entanto, essas funções e políticas foram projetadas para uso com o gerenciamento de acesso do AMS. Para fornecer o acesso necessário aos seus usuários, talvez seja necessário implantar seus próprios recursos do IAM.

**P: Como faço para obter acesso total à conta MALZ de gerenciamento, serviços compartilhados, rede ou outra [conta MALZ](malz-net-arch-accounts.md) que não seja do aplicativo após sair da landing zone de várias contas do AMS?**  
Após a desativação, siga as instruções em [Redefinir uma senha de usuário raiz perdida ou esquecida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html) para usar as credenciais do usuário principal (raiz) para acessar contas principais que não sejam a conta de gerenciamento. Ao contrário de outros tipos de conta, a conta de gerenciamento mantém um dispositivo de autenticação multifator (MFA) inacessível que está associado ao usuário raiz para evitar o uso. Para recuperar o acesso root, você deve seguir o processo de recuperação do [dispositivo de MFA perdido](https://aws.amazon.com/blogs/security/reset-your-aws-root-accounts-lost-mfa-device-faster-by-using-the-aws-management-console/).

**P: Quais mudanças são feitas durante a desativação da conta principal?**  
Para obter informações sobre as ações que o AMS executa quando o serviço exclui contas, consulte[Mudanças de desembarque](#offboarding-malz-offboarding-changes).

**P: Quanto tempo leva para ser concluída a desativação da conta principal?**  
O processo de desativação da conta principal normalmente leva até 30 dias para ser concluído. No entanto, para garantir que todas as etapas necessárias sejam concluídas corretamente, você deve iniciar a solicitação de desligamento pelo menos 7 dias antes do início do desligamento. Para facilitar uma transição fácil, planeje com antecedência e envie sua solicitação de saída com antecedência.

**P: Como faço para gerenciar componentes compartilhados após a desativação do AMS?**  
O AMS Managed Active Directory e outros componentes de infraestrutura de serviços compartilhados foram projetados para acesso do operador do AMS. Talvez seja necessário atualizar os grupos AWS Organizations de segurança, a política de controle de serviços (SCP) do Amazon Elastic Compute Cloud (Amazon EC2) ou fazer outras alterações para manter o acesso total a esses componentes.

**P: Posso fechar contas principais externas?**  
Por padrão, as contas de aplicativos têm várias dependências nas contas MALZ Core, como AWS Organizations associação, conectividade de rede de gateway de trânsito e resolução de DNS por meio do AMS Managed Active Directory. Depois de resolver essas dependências, você pode descomissionar e fechar a conta Core externa. Para obter mais informações, consulte [Contas de várias contas da Landing Zone](malz-net-arch-accounts.md).

### Desativação da conta principal RACI
<a name="offboarding-malz-core-account-raci"></a>
+  **R**: Parte responsável. A parte responsável por concluir a tarefa listada. 
+  **R**: Parte responsável. A parte que aprova a tarefa concluída. 
+  **C**: Parte consultada. Uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto, e com quem há comunicação bilateral. 
+  **I**: Parte informada. Uma parte que é informada sobre o progresso, geralmente somente após a conclusão da tarefa ou do resultado final. 


|  Atividade  |  Cliente  |  AWS Managed Services (AMS)  | 
| --- | --- | --- | 
|  Pré-requisitos  |   |   | 
|  Verifique o acesso ao endereço de e-mail raiz para cada ID de conta da AWS que será removida  |  R  |  C  | 
|  Verifique o acesso e atualize o número de telefone do usuário raiz da conta de gerenciamento  |  R  |  C  | 
|  Analise a documentação do AMS sobre as ações recomendadas do cliente e prepare as contas para a desativação do AMS  |  R  |  C  | 
|  Desembarque  |   |   | 
|  Envie uma solicitação de serviço para solicitar o desembarque da landing zone  |  R  |  eu  | 
|  Componentes AMS externos das contas principais  |  eu  |  R  | 
|  Pós-desembarque  |   |   | 
|  Redefina a senha da conta de usuário raiz e verifique o acesso root em contas externas  |  R  |  C  | 
|  Feche as contas ou siga as orientações da AMS sobre as ações recomendadas do cliente na documentação de desligamento da AMS para continuar operando as contas  |  R  |  C  | 

## Mudanças de desembarque
<a name="offboarding-malz-offboarding-changes"></a>

 A tabela a seguir descreve as ações que o AMS toma para desembarcar na landing zone de várias contas, os impactos potenciais e as ações recomendadas. 


|  Componente  |  Account type (Tipo de conta)  |  Ações tomadas para desembarcar  |  Impactos potenciais  |  Ação recomendada pelo cliente  | 
| --- | --- | --- | --- | --- | 
|  Gerenciamento de acesso  |  Contas de aplicativos  |   Após a desativação, os RFCs de acesso à pilha para just-in-time acesso com limite de tempo não podem mais ser enviados para acessar pilhas do EC2 por meio de hosts do AMS Bastion   O AMS não gerencia mais componentes relacionados ao acesso em nenhuma pilha de recursos do EC2 existente (agente aberto do PBIS, scripts de junção de domínio)   |   Não é possível usar o AMS Bastions por meio do RFS para acessar instâncias do EC2   As instâncias do EC2 iniciadas a partir de um fornecimento não AMS AMIs não são associadas ao domínio gerenciado do Active Directory   Se não forem removidos, os scripts de inicialização do AMS nas pilhas de recursos existentes podem produzir erros devido à falta de dependências do AMS e impedir a adesão a um domínio diferente   |   Use métodos alternativos para acessar a instância do EC2 (consulte[Alternativas de acesso](#offboarding-malz-access-alternatives))   Remova os scripts de inicialização do AMS das pilhas de recursos do EC2 existentes (consulte) [Desativar scripts de inicialização do AMS EC2](#offboarding-malz-disable-ec2-launch-scripts)   | 
|  Gerenciamento de acesso (continuação)  |  Contas principais  |  Se você migrou do PBIS Open para o PBIS Enterprise (AD Bridge), o AMS não renova mais o licenciamento após a desativação da conta principal  |  Se a licença do PBIS Enterprise puder expirar, as credenciais do Active Directory não serão válidas para as pilhas de instâncias EC2 existentes baseadas em Linux  |  Se você migrou para o PBIS Enterprise (AD Bridge), decida se deseja manter o licenciamento ou descomissionar (consulte) [PBIS Open/Enterprise (Ponte AD)](#offboarding-malz-pbis-open-enterprise)  | 
|  Registro, monitoramento e Incident/Event gerenciamento  |  Aplicativos e contas principais  |   Os componentes do AMS a [Alertas do monitoramento de linha de base no AMS](monitoring-default-metrics.md) serem implantados são removidos   Os CloudWatch alarmes existentes da Amazon implantados permanecem, mas não criam mais incidentes de AMS   AWS Config as autorizações de agregação do AMS e da conta de segurança MALZ Core são removidas   AWS Config as regras permanecem implantadas e a Amazon GuardDuty permanece habilitada, mas não cria mais incidentes de AMS   |   Recursos recém-criados não têm monitoramento de linha de base e alarmes do AMS aplicados   Alarmes métricos de infraestrutura e eventos de segurança não geram mais incidentes de AMS   AWS Config não está mais agregado em uma conta central   |   Defina, capture e analise métricas de operações para visualizar os eventos da carga de trabalho e tomar as medidas apropriadas.   Implemente qualquer fluxo de trabalho de alerta necessário para continuar aplicando o monitoramento operacional e os alarmes necessários em novos recursos e para receber alertas de segurança da AWS Config Amazon GuardDuty.   | 
|  Gerenciamento de continuidade (backup e restauração)  |  Contas de aplicativos  |   O AMS não monitora mais as tarefas de backup nem executa solicitações de backup e restauração   Os cofres de backup padrão do AMS, a chave de criptografia de backup e a função de backup permanecem   |  Falhas na operação de backup podem não ser notadas  |  Monitore e revise as configurações do plano de backup  | 
|  Gerenciamento de patches  |  Aplicativos e contas principais  |   O AMS não monitora mais as operações de aplicação de patches para uma execução bem-sucedida nem executa correções manuais   O AMS não atualiza mais os componentes da infraestrutura do AMS   As linhas de base do patch fornecidas pelo AMS são mantidas   Os runbooks de automação de AWS Systems Manager patches fornecidos pelo AMS não são compartilhados e não estão mais disponíveis para uso   |   Falhas na operação de correção podem não ser notadas   As configurações de patch existentes que dependem dos runbooks do Systems Manager Automation fornecidos pelo AMS devem ser reconfiguradas para continuarem ininterruptas.   |  Revise e reconfigure as configurações de patches conforme necessário  | 
|  Gerenciamento de rede  |  Contas de aplicativos  |  Se especificado, o anexo do gateway de trânsito na conta externa do aplicativo será removido  |  A conta de aplicativo externo não pode mais usar um gateway de trânsito para acessar serviços compartilhados, como o Active Directory gerenciado ou outras contas de aplicativos  |  Especifique DeleteTransitGatewayAttachment como False manter a conectividade do gateway de trânsito  | 
|  Gerenciamento de segurança  |  Contas de aplicativos  |   A conta é separada do console central do Trend Micro DSM. Além disso, os agentes de endpoint não encaminham mais alertas por meio do processo de incidentes do AMS   Os agentes da Trend Micro permanecem instalados, mas não são mais gerenciados ou atualizados pelo AMS   As personalizações de AMI fornecidas pela AMI que implantam o agente da Trend Micro não são mais mantidas ou atualizadas pelo AMS   |   As detecções de malware nos endpoints da instância EC2 podem não ser notadas   O agente Trend micro não é implantado em instâncias do EC2 que são iniciadas de forma não fornecida pelo AMS AMIs   |  Considere as opções para continuar ou descontinuar a Trend Micro (consulte[Trend Micro Deep Security](#offboarding-malz-trend-micro-deep-sec))  | 
|  Gerenciamento de segurança (continuação)  |  Contas principais  |   A infraestrutura do Trend Micro DSM é mantida nas contas de Serviços Compartilhados, mas não é mais mantida ou atualizada pelo AMS   O Trend Micro DSM não encaminha mais alertas por meio do processo de incidentes do AMS   |   As detecções de malware nos endpoints da instância EC2 podem passar despercebidas   A proteção de endpoints da instância EC2 pode ser afetada se a infraestrutura não for mantida (atualizações de definições, licenciamento etc.)   |  Decida se deseja continuar ou descontinuar a Trend Micro (consulte (consulte[Trend Micro Deep Security](#offboarding-malz-trend-micro-deep-sec))  | 
|  Gerenciamento de alterações  |  Aplicativos e contas principais  |   O console RFC e a API do AMS foram removidos   As políticas de controle de serviço personalizadas do AMS (SCPs) que contêm restrições de acesso no nível da conta são desanexadas durante a desativação da conta do aplicativo e excluídas durante a desativação da conta principal   |   Você deve usar uma AWS API nativa para criar novos recursos, alterar recursos existentes ou atualizar CloudFormation pilhas existentes   As restrições de acesso não são mais impostas no nível da conta por meio do AMS fornecido SCPs   |   Certifique-se de que as funções de usuário forneçam acesso suficiente para usar AWS os serviços   Crie SCPs para fornecer restrições de permissão em nível de conta   | 
|  Imagens e automações do AMS OS para gerenciamento de serviços  |  Aplicativos e contas principais  |   O AMS não fornece mais suporte para personalizações e scripts de lançamento incluídos no EC2 fornecido pelo AMS AMIs   O AMS, desde que o EC2 AMIs permaneça disponível em suas contas externas   Os runbooks do Systems Manager Automation fornecidos pelo AMS não são compartilhados e não estão mais disponíveis para uso   |   Após a desativação, o AMS forneceu o AMIs sinal de CloudFormation envio cfn `FAILURE` devido à falta de dependências nos componentes do AMS   Os processos operacionais que dependem dos runbooks do Systems Manager Automation fornecidos pelo AMS podem falhar   |  Revise e atualize todos os processos operacionais ou de compilação que dependam do AMS fornecido AMIs ou dos runbooks do Systems Manager Automation  | 
|  infraestrutura de serviços compartilhados  |  Contas principais  |  O acesso ao AMS foi removido e o AMS não gerencia mais componentes compartilhados, incluindo o AMS Managed Active Directory AWS Transit Gateway,, e AWS Organizations  |  Perda de gerenciamento da infraestrutura compartilhada  |  Redefina o acesso do administrador ao AMS Managed Active Directory e assuma o gerenciamento dos componentes de serviços compartilhados  | 
|  Relatórios  |  Aplicativos e contas principais  |  O AMS não coleta mais detalhes da conta ou do nível do recurso para gerar relatórios agregados  |  Perda de informações sobre métricas operacionais e comerciais (cobertura de backup e patches, gerenciamento de mudanças e atividade de incidentes)  |  Substitua qualquer relatório de dados agregado necessário em todas as contas por sua própria solução  | 
|  Equipe de contas e central de atendimento do AMS  |  Aplicativos e contas principais  |  A equipe de contas do AMS (CSDM, CA) e a central de serviços de operações do AMS não oferecem mais suporte às contas externas  |  Perda de suporte operacional com experiência na arquitetura de landing zone de várias contas projetada pela AMS e componentes relacionados  |  Certifique-se de que haja pessoal suficiente e familiaridade com a estrutura e os recursos da conta para apoiar as operações no ambiente  | 

## Alternativas de acesso
<a name="offboarding-malz-access-alternatives"></a>

A seguir estão os métodos alternativos para reter o acesso à sua pilha do EC2 depois de desativar as contas do AMS:
+ **Use o Session Manager** para acessar instâncias do EC2 com permissões elevadas sem exigir bastiões ou acesso à rede de entrada. Para obter mais informações, consulte [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html).
+ **Reunir instâncias do EC2 a um domínio diferente do Active Directory** com novas credenciais de domínio. Se você usa Directory Service, consulte [Unir uma instância do EC2 ao seu AWS Managed Microsoft AD diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_join_instance.html).
+ **Use contas de usuário locais** que você criou por meio de um dos outros métodos de acesso ou por meio do [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html).

## Desativar scripts de inicialização do AMS EC2
<a name="offboarding-malz-disable-ec2-launch-scripts"></a>

### Sistemas operacionais Linux
<a name="disable-launch-scripts-linux"></a>

Use o gerenciador de pacotes da sua distribuição para desinstalar o `ams-modules` pacote. Por exemplo, para uso do Amazon Linux 2`yum remove ams-modules`.

### Sistemas operacionais do Windows
<a name="disable-launch-scripts-windows"></a>

Para desativar os scripts de inicialização do EC2 no Windows, conclua as seguintes etapas:

1. Windows Server 2008/2012/2012r2/2016/2019:

   Desative ou remova a tarefa agendada do Managed Services Startup do Agendador de Tarefas. Para listar as tarefas agendadas, execute o `Get-ScheduledTask -TaskName '*Ec2*'` comando.

   Windows Server 2022:

   Remova a [tarefa EC2 Launch v2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2launch-v2-settings.html#ec2launch-v2-schema-agent-config). Essa tarefa é executada `Initialize-AMSBoot` em `postReady` estágio em C:\$1\$1 AmazonProgramData\$1 EC2 Launch\$1 config\$1 agent-config.yml na instância. Veja a seguir um trecho de um exemplo: `agent-config.yml`

   ```
   {
   	"task": "executeScript",
   	"inputs": [
   		{
   			"frequency": "always",
   			"type": "powershell",
   			"runAs": "localSystem"
   		}
   	]
   }
   ```

1. (Opcional) Remova o seguinte conteúdo do arquivo:

   ```
   C:\Program Files\WindowsPowerShell\Modules\AWSManagedServices.*
   C:\Windows\System32\WindowsPowerShell\v1.0\Modules\AWSManagedServices.Build.Utilities\*
   ```

## PBIS Open/Enterprise (Ponte AD)
<a name="offboarding-malz-pbis-open-enterprise"></a>

Para determinar se você usa a edição PBIS Open ou PBIS Enterprise (AD Bridge), execute o seguinte comando em uma instância gerenciada do Linux EC2:

```
yum info | grep pbis
```

Veja a seguir um exemplo de saída que mostra o PBIS Enterprise (AD Bridge):

```
Name        : pbis-enterprise
From repo   : pbise
Name        : pbis-enterprise-devel
Repo        : pbise
Description : The pbis-enterprise-devel package includes the development
```

### PBIS Aberto
<a name="pbis-open"></a>

O PBIS Open é um produto obsoleto que BeyondTrust não oferece mais suporte. Para obter mais informações, consulte a documentação do [BeyondTrust pbis-open](https://github.com/BeyondTrust/pbis-open/wiki/Documentation).

### Ponte AD (PBIS Enterprise)
<a name="ad-bridge"></a>

Você pode executar uma das seguintes ações:
+ **Renove o licenciamento e continue operando o AD Bridge.** Entre em contato BeyondTrust para discutir o licenciamento e o suporte.
+ **Interrompa o uso do AD Bridge.** Execute o comando Shell a seguir para remover o pacote PBIS-Enterprise das instâncias gerenciadas do Linux. Para obter mais informações, consulte a BeyondTrust documentação [Sair de um domínio e desinstalar o AD Bridge Agent](https://www.beyondtrust.com/docs/ad-bridge/getting-started/installation/leaving-domain.htm).

  ```
  $ sudo /opt/pbis/bin/uninstall.sh purge
  ```

### Sair do domínio do Active Directory gerenciado pelo AMS sem remover o agente PBIS
<a name="leave-pbis-agent"></a>

Você tem a opção de deixar o Active Directory gerenciado pelo AMS sem remover o agente PBIS. Use uma das soluções a seguir, dependendo do seu sistema operacional:

------
#### [ Linux operating systems ]

Use o PBIS do AD gerenciado pelo AMS para executar o seguinte comando shell para desassociar-se de uma instância Linux EC2. Para obter mais informações, consulte a documentação do [BeyondTrust pbis-open](https://github.com/BeyondTrust/pbis-open/wiki/Documentation) ou do [BeyondTrust AD Bridge](https://www.beyondtrust.com/docs/ad-bridge), dependendo da versão usada.

```
$ sudo /opt/pbis/bin/domainjoin-cli leave
```

Talvez você veja uma mensagem de erro semelhante à seguinte:

```
Error: LW_ERROR_KRB5_REALM_CANT_RESOLVE [code 0x0000a3e1]
Cannot resolve network address for KDC in requested realm
```

Se esse erro ocorrer, execute os seguintes comandos para excluir o registro do provedor AD e reiniciar `lwsm` os serviços:

```
$ /opt/pbis/bin/regshell dir '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin]'
```

Use a saída do ID do diretório que você recebeu do comando anterior (por exemplo,**A123EXAMPLE.AMAZONAWS.COM**) para executar os seguintes comandos:

```
$ /opt/pbis/bin/regshell delete_tree \
'[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\DomainJoin\DIRECTORYID]'

$ /etc/pbis/redhat/lwsmd restart

$ /opt/pbis/bin/lwsm restart lwreg
```

------
#### [ Windows operating systems ]

```
# Collect hostname and domain name using:

Test-ComputerSecureChannel -verbose

# Disjoin computer from the domain:

netdom remove hostname /domain:domain name /force
```

**nota**  
Certifique-se de desativar ou remover a tarefa agendada do Managed Services Startup, conforme mencionado em[Desativar scripts de inicialização do AMS EC2](#offboarding-malz-disable-ec2-launch-scripts).

------

## Trend Micro Deep Security
<a name="offboarding-malz-trend-micro-deep-sec"></a>

Use uma das seguintes opções para continuar ou interromper o uso do Trend Micro Deep Security:

**Continuar o uso**
+ **(Se desativar todo o MALZ) Após a desativação da conta Core, reconecte as contas externas do Aplicativo ao Trend Micro Deep Security Manager (DSM) existente e mantenha o licenciamento na conta de Serviços compartilhados.** Para obter mais informações, consulte [Adicionar contas AWS na nuvem](https://help.deepsecurity.trendmicro.com/12_0/aws/Add-Computers/add-aws.html?Highlight=account%20sync) e [Verificar as informações da sua licença](https://help.deepsecurity.trendmicro.com/12_0/aws/Manage-Components/ui-admin-licenses.html).

  1. Faça login na conta de serviços compartilhados e navegue até o console do Secrets Manager.

  1. Recupere as credenciais de administrador do console DSM que estão armazenadas no caminho. `/ams/eps/`

  1. Faça login no console DSM em [https://dsm.sentinel.int](https://dsm.sentinel.int/).

  1. Escolha **Usar função entre contas** e, em seguida, insira**arn:aws:iam::ACCOUNTID:role/mc\$1eps\$1cross\$1account\$1role**. Substitua **ACCOUNTID pelo ID da conta** do aplicativo externo. 

  1. Escolha **Próximo**.

  1. Aguarde alguns minutos para que o DSM processe a descoberta da conta e mostre que a sincronização foi bem-sucedida.
+ **Reconecte contas externas do aplicativo a uma nova instalação do Trend Micro DSM.** Para obter mais informações, consulte [Ativar e proteger agentes](https://help.deepsecurity.trendmicro.com/12_0/aws/agent-initiated-activation-communication.html?Highlight=activation) e [Ativar o agente](https://help.deepsecurity.trendmicro.com/12_0/aws/Get-Started/Install/activate-agent.html?Highlight=activate%20agent).
+ **Reconecte contas externas do aplicativo ao Trend Micro Cloud One.** Para obter mais informações, consulte [Migrar do Deep Security para o Workload Security](https://help.deepsecurity.trendmicro.com/20_0/on-premise/migration.html) e [Migrar de um](https://cloudone.trendmicro.com/docs/workload-security/migration/) DSM local.

**Interromper o uso**
+ **Desinstale o Trend Micro Deep Security Agents das contas externas do aplicativo.** Para obter mais informações, consulte [Desinstalar o Deep Security](https://help.deepsecurity.trendmicro.com/12_0/aws/Get-Started/Install/ig-uninstall-basic.html?Highlight=uninstall%20agent).