

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Introducción al AWS Support autorización
<a name="support-authorization-getting-started"></a>

En este tutorial, se explica cómo configurar la AWS Support autorización y cómo crear su primer permiso de soporte. Debe completar los siguientes pasos:

Este tutorial tarda aproximadamente 10 minutos en completarse.

1. Cree una clave AWS KMS de firma

1. Configurar permisos de IAM

1. Crea tu primer permiso de manutención

1. Revise las solicitudes de permisos de apoyo de AWS Support

## Requisitos previos
<a name="support-authorization-getting-started-prereqs"></a>

Antes de empezar, compruebe que dispone de lo siguiente:
+ Una AWS cuenta activa
+ Permisos para crear AWS KMS claves en tu cuenta
+ Permisos para crear políticas de IAM y adjuntarlas a usuarios o roles

## Paso 1: Crear una AWS KMS Clave de firma
<a name="support-authorization-getting-started-step1"></a>

AWS Support la autorización requiere una AWS KMS clave con las especificaciones `ECC_NIST_P384` y el uso `SIGN_VERIFY` de la clave. La clave debe estar en la misma región que su permiso de soporte.

**nota**  
Si ya tienes una AWS KMS clave con las especificaciones `ECC_NIST_P384` y el uso de claves `SIGN_VERIFY` en la misma región, puedes saltarte este paso y usar esa clave.

Para crear la clave, ejecute el siguiente comando AWS CLI:

```
aws kms create-key \
    --key-usage SIGN_VERIFY \
    --key-spec ECC_NIST_P384 \
    --description "SupportAuthZ signing key" \
    --tags TagKey=supportauthz:managed,TagValue=true \
    --region us-east-1
```

Anote la clave ARN de la salida. Este valor se utiliza al crear permisos de soporte.

Incluya las declaraciones de política de AWS Support autorización requeridas en la `create-key` convocatoria. Para ver las declaraciones obligatorias, consulte[Configuración AWS KMS claves para AWS Support autorización](support-authorization-kms.md).

**Example Ejemplo de resultado de**  

```
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeySpec": "ECC_NIST_P384",
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

## Paso 2: Configurar los permisos de IAM
<a name="support-authorization-getting-started-step2"></a>

Adjunta una política de IAM que conceda permisos para las operaciones de la API de AWS Support autorización. El siguiente ejemplo de política otorga acceso a todas las acciones de AWS Support autorización.

La `supportauthz:RegisterKey` acción permite asociar AWS KMS las claves con los permisos de soporte. Esta acción, que solo requiere permisos, debe estar presente en su política de IAM para AWS Support que la autorización funcione.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportauthz:CreateSupportPermit",
                "supportauthz:RegisterKey",
                "supportauthz:DeleteSupportPermit",
                "supportauthz:GetSupportPermit",
                "supportauthz:ListSupportPermits",
                "supportauthz:ListSupportPermitRequests",
                "supportauthz:RejectSupportPermitRequest",
                "supportauthz:GetAction",
                "supportauthz:ListActions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
                    "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
                    "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "DescribeKey",
                        "GetPublicKey",
                        "Sign"
                    ]
                }
            }
        }
    ]
}
```

*Para asociar esta política a un usuario o rol de IAM, consulte [Añadir y eliminar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la Guía del usuario.AWS Identity and Access Management *

## Paso 3: Crea tu primer permiso de soporte
<a name="support-authorization-getting-started-step3"></a>

Cree un permiso de soporte que autorice el acceso AWS Support a la información sobre sus servicios para recursos específicos.

------
#### [ Console ]

1. Inicie sesión en la [AWS Support Center Console](https://console.aws.amazon.com/support).

1. En el panel de navegación, elija **Support authorization**.

1. En la sección **Acceso concedido**, elija **Preconfigurar el acceso**.

1. En **Tipo de acceso**, elija una de las siguientes opciones:
   + **Todos los recursos compatibles en esta región**: ofrece un acceso amplio a toda la cuenta en la región seleccionada.
   + **Elegir el ARN del recurso**: limita el acceso a un recurso específico que se identifica mediante el ARN.

1. (Opcional) Para **obtener más información**, introduzca un **nombre** y una **descripción** para el permiso de asistencia.

1. Para la **duración del acceso**, elija una de las siguientes opciones:
   + **Sin caducidad: el** acceso permanece activo hasta que lo revoques.
   + **Duración personalizada**: establezca un período de tiempo específico durante el cual el permiso de asistencia sea válido.

1. En **Acciones**, elija las acciones que AWS Support se pueden realizar:
   + Seleccione la casilla **Todas las acciones** para permitir todas las acciones disponibles en los recursos incluidos. Esto elimina el límite de 10 acciones.
   + Para elegir acciones específicas, desactive la casilla **Todas las acciones**. Seleccione un servicio de la lista de **servicios** y, a continuación, seleccione hasta 10 acciones individuales de la tabla de acciones.

1. En **Clave de firma**, elija una AWS KMS clave de la lista desplegable. Para crear una clave nueva, selecciona **Crear clave de firma de KMS**.

1. Seleccione **Enviar**.

------
#### [ AWS CLI ]

Ejecute el siguiente comando para crear un permiso de soporte con límite de tiempo para un recurso específico:

```
aws supportauthz create-support-permit \
    --name "MyFirstPermit" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --permit '{
        "actions": {"allActions": {}},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowAfter": "2026-06-01T00:00:00Z"},
            {"allowBefore": "2026-07-01T00:00:00Z"}
        ]
    }'
```

Este permiso de soporte autoriza AWS Support a realizar todas las acciones disponibles en el clúster de Amazon Aurora especificado durante junio de 2026.

------

## Paso 4: Revise las solicitudes de permisos de soporte de AWS Support
<a name="support-authorization-getting-started-step4"></a>

Cuando AWS Support necesite acceder a la información sobre sus servicios y no exista un permiso de soporte compatible, AWS Support envíe una solicitud de permiso de soporte. Puede ver las solicitudes pendientes y aprobarlas o rechazarlas.

------
#### [ Console ]

1. Inicie sesión en la [AWS Support Center Console](https://console.aws.amazon.com/support).

1. En el panel de navegación, elija **Support authorization**.

1. En la sección **Solicitudes de acceso pendientes**, revise la lista de solicitudes. Cada solicitud muestra el caso de soporte, el servicio, el ARN de la solicitud de permiso de soporte, el estado y la fecha de acceso a la solicitud de acceso asociados.

1. (Opcional) Para filtrar las solicitudes, usa los filtros desplegables de **estado** y **servicio**, o busca por recurso en el campo de búsqueda.

1. Para aprobar o rechazar una solicitud, selecciona **Administrar el acceso al soporte**.

------
#### [ AWS CLI ]

Para ver una lista de las solicitudes pendientes, ejecuta el siguiente comando:

```
aws supportauthz list-support-permit-requests
```

**Example Ejemplo de resultado de**  

```
{
    "supportPermitRequests": [
        {
            "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd",
            "status": "PENDING",
            "supportCaseDisplayId": "case-12345678",
            "requestedActions": ["rds:ReadClusterData"],
            "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"],
            "createdAt": "2026-06-01T12:00:00Z"
        }
    ]
}
```

Para aprobar esta solicitud, cree un permiso de soporte que cubra el ámbito solicitado:

```
aws supportauthz create-support-permit \
    --name "ApproveCase12345678" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --support-case-display-id "case-12345678" \
    --permit '{
        "actions": {"actions": ["rds:ReadClusterData"]},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowBefore": "2026-06-15T00:00:00Z"}
        ]
    }'
```

Para rechazar una solicitud, ejecuta el siguiente comando. Esto indica AWS Support que no deseas aceptar la solicitud. Rechazar una solicitud no impide que puedas crear un permiso de soporte para las mismas acciones y recursos en el futuro.

```
aws supportauthz reject-support-permit-request \
    --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"
```

------

Revisa cada solicitud y decide si la apruebas o rechazas:
+ **Para aprobarla**: cree un permiso de asistencia que cubra el ámbito solicitado. Incluya el `supportCaseDisplayId` parámetro para desactivar automáticamente el permiso de soporte cuando se cierre el caso.
+ **Rechazar**: llame `RejectSupportPermitRequest` para notificar AWS Support que no desea aceptar la solicitud. Rechazar una solicitud no impide que puedas crear un permiso de soporte para las mismas acciones y recursos más adelante.

## Siguientes pasos
<a name="support-authorization-getting-started-next-steps"></a>

Tras completar este tutorial, consulte los siguientes temas:
+ Para obtener más información sobre la determinación del alcance de los permisos de asistencia, consulte[Administrar los permisos de soporte](support-authorization-permits.md).
+ Para supervisar las acciones de apoyo de sus recursos, consulte[Supervisión AWS Support autorización con AWS CloudTrail](support-authorization-monitoring.md).