

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren AWS KMS Schlüssel für AWS Support Autorisierung
<a name="support-authorization-kms"></a>

## Schlüsselanforderungen
<a name="support-authorization-kms-requirements"></a>

Für die kryptografische Unterzeichnung von Support-Genehmigungen ist ein vom Kunden verwalteter AWS KMS Schlüssel erforderlich. Ihr Schlüssel muss die folgenden Anforderungen erfüllen:
+ Schlüsselspezifikation: `ECC_NIST_P384`
+ Verwendung der Schlüssel: `SIGN_VERIFY`
+ Der Schlüssel muss sich in derselben AWS Region befinden wie die Unterstützungserlaubnis.

Das Material Ihres privaten Schlüssels wird Sie nie verlassen AWS KMS. Sie erstellen einen Grant für Ihren Schlüssel, der es ihm ermöglicht`DescribeKey`,`GetPublicKey`, und aufzurufen`Sign`. Der Zuschuss ist auf die Unterstützungserlaubnis beschränkt und verfällt, wenn die Unterstützungserlaubnis gelöscht oder deaktiviert wird.

## Wie AWS Support Die Autorisierung verwendet Ihre AWS KMS Schlüssel
<a name="support-authorization-kms-how-used"></a>

Wenn Sie eine Support-Genehmigung erstellen, wird Ihr AWS KMS Schlüssel auf folgende Weise verwendet:

1. Verwendet [Forward-Access-Sitzungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), um in `DescribeKey` Ihrem Namen anzurufen und zu überprüfen, ob der Schlüssel die erforderlichen Spezifikationen (`ECC_NIST_P384`) und Verwendungszwecke () erfüllt. `SIGN_VERIFY`

1. Erzeugt einen Zuschuss für den Schlüssel, indem es in `CreateGrant` Ihrem Namen anruft. Der Zuschuss ermöglicht `DescribeKey``GetPublicKey`, und `Sign` Operationen.

1. Überprüft die Autorisierung, wenn eine AWS Support Anfrage mit einer bestehenden Support-Genehmigung übereinstimmt, indem der Grant verwendet wird, um `Sign` den Schlüssel abzurufen. Die resultierende Signatur bestätigt, ob zur Ausführung der Aktion berechtigt AWS Support ist.

## Erforderliche wichtige Grundsatzerklärungen
<a name="support-authorization-kms-policy"></a>

Fügen Sie Ihrer AWS KMS wichtigsten Richtlinie die folgenden Grundsatzerklärungen hinzu. Dies sind die Mindestberechtigungen, die für die AWS Support Autorisierung zur Verwendung Ihres Schlüssels erforderlich sind.

```
{
  "Sid": "Allows access to CreateGrant through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:CreateGrant"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
      "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
      "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
    },
    "ForAllValues:StringEquals": {
      "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"]
    },
    "ArnLike": {
      "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*"
    }
  }
},
{
  "Sid": "Allows access to DescribeKey through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:DescribeKey"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
    }
  }
}
```

Diese Anweisungen gewähren die folgenden Berechtigungen:

CreateGrant  
Ermöglicht die Erstellung von Zuschüssen für `DescribeKey``GetPublicKey`, und `Sign` Operationen. Die Bedingungen beschränken die Erstellung von Zuschüssen auf Anfragen, die über den AWS Support Autorisierungsservice gestellt werden und für die Unterstützung von Genehmigungsressourcen in Ihrem Konto gelten. AWS Support Bei der Autorisierung werden im `CreateGrant` Rahmen der Erstellung einer Support-Genehmigung Telefonanrufe über [Forward-Access-Sitzungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) abgewickelt.

DescribeKey  
Ermöglicht die Überprüfung, ob der Schlüssel die erforderlichen Spezifikationen und Verwendungsarten erfüllt, wenn Sie eine Support-Genehmigung mithilfe von Forward-Access-Sitzungen erstellen.

**Anmerkung**  
`111122223333`Ersetzen Sie es durch Ihre AWS Konto-ID und `us-east-1` durch die AWS Region, in der Sie Ihre Support-Genehmigungen erstellen.

## Widerrufen AWS Support Autorisierungszugriff
<a name="support-authorization-kms-revoke"></a>

Die empfohlene Methode, um die Signaturberechtigungen für Ihren Schlüssel zu widerrufen, besteht darin, die Gewährung zu widerrufen. Dadurch werden weitere Signaturvorgänge verhindert, ohne dass sich dies auf andere Verwendungszwecke des Schlüssels auswirkt.

Gehen Sie wie folgt vor, um AWS Support Genehmigungen aufzulisten und zu widerrufen:

1. Führt Zuschüsse anhand des Schlüssels auf, um die Grant-ID zu finden:

   ```
   aws kms list-grants \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
   ```

   Identifizieren Sie den Zuschuss anhand seines Namens oder der `GrantConstraints` Quell-ARN, die auf Ihre Unterstützungserlaubnis verweist.

1. Widerrufen Sie den Zuschuss:

   ```
   aws kms revoke-grant \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --grant-id grant-id-from-list-grants
   ```

Nachdem Sie den Zuschuss widerrufen haben, können keine neuen unterschriebenen Autorisierungen mehr für Unterstützungserlaubnisse ausgestellt werden, die diesen Schlüssel verwenden. Da die AWS KMS API einem Konsistenzmodell folgt, kann es zu einer kurzen Verzögerung kommen, bis die Änderung vollständig verfügbar ist. AWS KMS

**Anmerkung**  
Durch den Widerruf eines Zuschusses wird die zugehörige Unterstützungserlaubnis nicht gelöscht. Die Unterstützungserlaubnis verbleibt im Status AKTIV, es können jedoch keine Genehmigungen dafür unterzeichnet werden. Zuschüsse sind für jede Unterstützungserlaubnis spezifisch. Durch das Erstellen einer neuen Unterstützungserlaubnis mit demselben AWS KMS Schlüssel wird die Fähigkeit der AWS Support Autorisierung, den Schlüssel für die ursprüngliche Unterstützungserlaubnis zu verwenden, nicht wiederhergestellt.

## Deaktivierung oder Löschung des Schlüssels
<a name="support-authorization-kms-disable-delete"></a>

Sie können das Löschen des AWS KMS Schlüssels auch deaktivieren oder planen, um zu verhindern, dass die Autorisierung signierte AWS Support Autorisierungen ausstellt. Dies wirkt sich jedoch auf alle Verwendungen des Schlüssels aus, nicht nur auf die AWS Support Autorisierung.

**Wichtig**  
Beides AWS KMS und die AWS Support Autorisierung sind letztlich konsistent. Nachdem Sie einen Schlüssel deaktiviert oder das Löschen eines Schlüssels geplant haben, kann es mehrere Minuten dauern, bis die Änderung vollständig wirksam wird. Während dieses Zeitraums können signierte Autorisierungen weiterhin mithilfe des Schlüssels ausgestellt werden. Auch der Widerruf von Zuschüssen ist irgendwann einheitlich.

Wenn Sie einen Schlüssel deaktivieren, können Sie ihn in der AWS KMS Konsole oder per Anruf `EnableKey` wieder aktivieren. Wenn Sie einen Schlüssel löschen, kann er nicht wiederhergestellt werden.

## Überwachung der Schlüsselnutzung
<a name="support-authorization-kms-monitoring"></a>

Wenn Ihr AWS KMS Schlüssel zum Signieren einer Autorisierung verwendet wird, wird der Signaturvorgang im Ereignisverlauf des Schlüssels AWS CloudTrail protokolliert. Anhand dieser Ereignisse können Sie überprüfen, wann und wie oft Autorisierungen in Ihrem Namen signiert werden.