

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit AWS Support Autorisierung
<a name="support-authorization-getting-started"></a>

Dieses Tutorial führt Sie durch die Einrichtung der AWS Support Autorisierung und die Erstellung Ihrer ersten Support-Genehmigung. Sie führen die folgenden Schritte aus:

Die Bearbeitung dieses Tutorials dauert ungefähr 10 Minuten.

1. Erstellen Sie einen AWS KMS Signaturschlüssel

1. Einrichten von IAM-Berechtigungen

1. Erstellen Sie Ihre erste Support-Genehmigung

1. Überprüfen Sie die Anfragen zur Support-Genehmigung von AWS Support

## Voraussetzungen
<a name="support-authorization-getting-started-prereqs"></a>

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein aktives AWS Konto
+ Berechtigungen zum Erstellen von AWS KMS Schlüsseln in Ihrem Konto
+ Berechtigungen zum Erstellen von IAM-Richtlinien und zum Anhängen dieser Richtlinien an Benutzer oder Rollen

## Schritt 1: Erstellen Sie ein AWS KMS Signaturschlüssel
<a name="support-authorization-getting-started-step1"></a>

AWS Support Für die Autorisierung ist ein AWS KMS Schlüssel mit Schlüsselspezifikation `ECC_NIST_P384` und Schlüsselverwendung `SIGN_VERIFY` erforderlich. Der Schlüssel muss sich in derselben Region befinden wie Ihre Support-Genehmigung.

**Anmerkung**  
Wenn Sie bereits einen AWS KMS Schlüssel mit Schlüsselspezifikation `ECC_NIST_P384` und Schlüsselverwendung `SIGN_VERIFY` in derselben Region haben, können Sie diesen Schritt überspringen und diesen Schlüssel verwenden.

Führen Sie den folgenden AWS CLI-Befehl aus, um den Schlüssel zu erstellen:

```
aws kms create-key \
    --key-usage SIGN_VERIFY \
    --key-spec ECC_NIST_P384 \
    --description "SupportAuthZ signing key" \
    --tags TagKey=supportauthz:managed,TagValue=true \
    --region us-east-1
```

Notieren Sie sich den Schlüssel ARN aus der Ausgabe. Sie verwenden diesen Wert, wenn Sie Unterstützungsgenehmigungen erstellen.

Nehmen Sie die erforderlichen Anweisungen zur AWS Support Autorisierungsrichtlinie in den `create-key` Anruf auf. Die erforderlichen Anweisungen finden Sie unter[Konfigurieren AWS KMS Schlüssel für AWS Support Autorisierung](support-authorization-kms.md).

**Example Beispielausgabe**  

```
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeySpec": "ECC_NIST_P384",
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

## Schritt 2: Richten Sie IAM-Berechtigungen ein
<a name="support-authorization-getting-started-step2"></a>

Fügen Sie eine IAM-Richtlinie hinzu, die Berechtigungen für AWS Support Autorisierungs-API-Operationen gewährt. Die folgende Beispielrichtlinie gewährt Zugriff auf alle AWS Support Autorisierungsaktionen.

Mit `supportauthz:RegisterKey` dieser Aktion können Sie AWS KMS Schlüssel mit Support-Genehmigungen verknüpfen. Diese Aktion, für die nur Berechtigungen erforderlich sind, muss in Ihrer IAM-Richtlinie enthalten sein, damit die Autorisierung funktioniert AWS Support .

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportauthz:CreateSupportPermit",
                "supportauthz:RegisterKey",
                "supportauthz:DeleteSupportPermit",
                "supportauthz:GetSupportPermit",
                "supportauthz:ListSupportPermits",
                "supportauthz:ListSupportPermitRequests",
                "supportauthz:RejectSupportPermitRequest",
                "supportauthz:GetAction",
                "supportauthz:ListActions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
                    "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
                    "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "DescribeKey",
                        "GetPublicKey",
                        "Sign"
                    ]
                }
            }
        }
    ]
}
```

*Informationen zum Anhängen dieser Richtlinie an einen IAM-Benutzer oder eine IAM-Rolle finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im Benutzerhandbuch.AWS Identity and Access Management *

## Schritt 3: Erstellen Sie Ihre erste Support-Genehmigung
<a name="support-authorization-getting-started-step3"></a>

Erstellen Sie eine Support-Genehmigung, die den AWS Support Zugriff auf Informationen über Ihre Dienste für bestimmte Ressourcen berechtigt.

------
#### [ Console ]

1. Melden Sie sich an der [AWS Support Center Console](https://console.aws.amazon.com/support) an.

1. Wählen Sie im Navigationsbereich **Support Authorization** aus.

1. Wählen Sie im Abschnitt **Gewählter Zugriff** die Option **Zugriff vorkonfigurieren** aus.

1. Wählen Sie **unter Zugriffstyp** eine der folgenden Optionen aus:
   + **Alle unterstützten Ressourcen in dieser Region** — Wendet umfassenden Zugriff auf Ihr gesamtes Konto in der ausgewählten Region an.
   + **Ressourcen-ARN wählen** — Beschränkt den Zugriff auf eine bestimmte Ressource, die Sie anhand des ARN identifizieren.

1. (Optional) Geben Sie für **Details** einen **Namen** und eine **Beschreibung** für die Support-Genehmigung ein.

1. Wählen Sie für die **Zugriffsdauer** eine der folgenden Optionen aus:
   + **Kein Ablauf** — Der Zugriff bleibt aktiv, bis Sie ihn widerrufen.
   + **Benutzerdefinierte Dauer** — Legen Sie ein bestimmtes Zeitfenster fest, in dem die Support-Genehmigung gültig ist.

1. Wählen Sie unter **Aktionen** die Aktionen aus, AWS Support die ausgeführt werden dürfen:
   + Aktivieren Sie das Kontrollkästchen **Alle Aktionen**, um alle verfügbaren Aktionen für die betroffenen Ressourcen zuzulassen. Dadurch wird das Limit von 10 Aktionen aufgehoben.
   + Um bestimmte Aktionen auszuwählen, deaktivieren Sie das Kontrollkästchen **Alle Aktionen**. Wählen Sie einen Dienst aus der Liste **Dienste** aus und wählen Sie dann bis zu 10 einzelne Aktionen aus der Aktionstabelle aus.

1. Wählen Sie unter **Signaturschlüssel** einen AWS KMS Schlüssel aus der Dropdownliste aus. Um einen neuen Schlüssel zu erstellen, wählen Sie **Create KMS-Signaturschlüssel** aus.

1. Wählen Sie **Absenden** aus.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus, um eine zeitlich begrenzte Support-Genehmigung für eine bestimmte Ressource zu erstellen:

```
aws supportauthz create-support-permit \
    --name "MyFirstPermit" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --permit '{
        "actions": {"allActions": {}},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowAfter": "2026-06-01T00:00:00Z"},
            {"allowBefore": "2026-07-01T00:00:00Z"}
        ]
    }'
```

Diese Support-Genehmigung berechtigt AWS Support zur Durchführung aller verfügbaren Aktionen auf dem angegebenen Amazon Aurora Aurora-Cluster im Juni 2026.

------

## Schritt 4: Überprüfen Sie die Anfragen zur Support-Genehmigung von AWS Support
<a name="support-authorization-getting-started-step4"></a>

Wenn Sie Zugriff auf Informationen über Ihre Dienste AWS Support benötigen und keine entsprechende Support-Genehmigung vorliegt, AWS Support reicht Sie eine Support-Genehmigungsanfrage ein. Sie können ausstehende Anfragen einsehen und diese genehmigen oder ablehnen.

------
#### [ Console ]

1. Melden Sie sich an der [AWS Support Center Console](https://console.aws.amazon.com/support) an.

1. Wählen Sie im Navigationsbereich **Support Authorization** aus.

1. Überprüfen Sie im Abschnitt **Ausstehende Zugriffsanfragen** die Liste der Anfragen. Jede Anfrage zeigt den zugehörigen Supportfall, den Service, den ARN für die Support-Genehmigungsanfrage, den Status und das Zugriffsdatum der Anfrage.

1. (Optional) Verwenden Sie zum Filtern von Anfragen die Dropdownfilter **Status** und **Service** oder suchen Sie im Suchfeld nach Ressourcen.

1. Um eine Anfrage zu genehmigen oder abzulehnen, wählen Sie **Supportzugriff verwalten** aus.

------
#### [ AWS CLI ]

Führen Sie den folgenden Befehl aus, um ausstehende Anfragen aufzulisten:

```
aws supportauthz list-support-permit-requests
```

**Example Beispielausgabe**  

```
{
    "supportPermitRequests": [
        {
            "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd",
            "status": "PENDING",
            "supportCaseDisplayId": "case-12345678",
            "requestedActions": ["rds:ReadClusterData"],
            "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"],
            "createdAt": "2026-06-01T12:00:00Z"
        }
    ]
}
```

Um diese Anfrage zu genehmigen, erstellen Sie eine Support-Genehmigung, die den angeforderten Umfang abdeckt:

```
aws supportauthz create-support-permit \
    --name "ApproveCase12345678" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --support-case-display-id "case-12345678" \
    --permit '{
        "actions": {"actions": ["rds:ReadClusterData"]},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowBefore": "2026-06-15T00:00:00Z"}
        ]
    }'
```

Führen Sie den folgenden Befehl aus, um eine Anfrage abzulehnen. Dadurch wird mitgeteilt AWS Support , dass Sie die Anfrage nicht annehmen möchten. Das Ablehnen einer Anfrage hindert Sie nicht daran, später eine Support-Genehmigung für dieselben Aktionen und Ressourcen zu erstellen.

```
aws supportauthz reject-support-permit-request \
    --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"
```

------

Prüfen Sie jede Anfrage und entscheiden Sie, ob Sie sie genehmigen oder ablehnen möchten:
+ **Um zu genehmigen**: Erstellen Sie eine Support-Genehmigung, die den angeforderten Umfang abdeckt. Fügen Sie den `supportCaseDisplayId` Parameter hinzu, um die Support-Genehmigung automatisch zu deaktivieren, wenn der Fall abgeschlossen ist.
+ **Ablehnen**: Rufen Sie an, `RejectSupportPermitRequest` um mitzuteilen AWS Support , dass Sie die Anfrage nicht annehmen möchten. Das Ablehnen einer Anfrage hindert Sie nicht daran, später eine Support-Genehmigung für dieselben Aktionen und Ressourcen zu erstellen.

## Nächste Schritte
<a name="support-authorization-getting-started-next-steps"></a>

Nachdem Sie dieses Tutorial abgeschlossen haben, schauen Sie sich die folgenden Themen an:
+ Weitere Informationen zum Umfang von Unterstützungsgenehmigungen finden Sie unter. [Verwaltung von Support-Genehmigungen](support-authorization-permits.md)
+ Informationen zur Überwachung der Unterstützungsmaßnahmen in Bezug auf Ihre Ressourcen finden Sie unter. [Überwachen AWS Support Autorisierung mit AWS CloudTrail](support-authorization-monitoring.md)