

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulai dengan AWS Dukungan otorisasi
<a name="support-authorization-getting-started"></a>

Tutorial ini memandu Anda melalui pengaturan AWS Dukungan otorisasi dan membuat izin dukungan pertama Anda. Anda menyelesaikan langkah-langkah berikut:

Tutorial ini membutuhkan waktu sekitar 10 menit untuk menyelesaikannya.

1. Buat kunci AWS KMS penandatanganan

1. Siapkan izin IAM

1. Buat izin dukungan pertama Anda

1. Tinjau permintaan izin dukungan dari AWS Dukungan

## Prasyarat
<a name="support-authorization-getting-started-prereqs"></a>

Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:
+  AWS Akun aktif
+ Izin untuk membuat AWS KMS kunci di akun Anda
+ Izin untuk membuat kebijakan IAM dan melampirkannya ke pengguna atau peran

## Langkah 1: Buat AWS KMS kunci penandatanganan
<a name="support-authorization-getting-started-step1"></a>

AWS Dukungan otorisasi memerlukan AWS KMS kunci dengan spesifikasi kunci `ECC_NIST_P384` dan penggunaan kunci. `SIGN_VERIFY` Kuncinya harus berada di Wilayah yang sama dengan izin dukungan Anda.

**catatan**  
Jika Anda sudah memiliki AWS KMS kunci dengan spesifikasi kunci `ECC_NIST_P384` dan penggunaan kunci `SIGN_VERIFY` di Wilayah yang sama, Anda dapat melewati langkah ini dan menggunakan kunci itu.

Untuk membuat kunci, jalankan perintah AWS CLI berikut:

```
aws kms create-key \
    --key-usage SIGN_VERIFY \
    --key-spec ECC_NIST_P384 \
    --description "SupportAuthZ signing key" \
    --tags TagKey=supportauthz:managed,TagValue=true \
    --region us-east-1
```

Perhatikan kunci ARN dari output. Anda menggunakan nilai ini ketika Anda membuat izin dukungan.

Sertakan pernyataan kebijakan AWS Dukungan otorisasi yang diperlukan dalam `create-key` panggilan. Untuk pernyataan yang diperlukan, lihat[Melakukan konfigurasi AWS KMS kunci untuk AWS Dukungan otorisasi](support-authorization-kms.md).

**Example Contoh Output**  

```
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeySpec": "ECC_NIST_P384",
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

## Langkah 2: Siapkan izin IAM
<a name="support-authorization-getting-started-step2"></a>

Lampirkan kebijakan IAM yang memberikan izin untuk operasi API AWS Dukungan otorisasi. Contoh kebijakan berikut memberikan akses ke semua tindakan AWS Dukungan otorisasi.

`supportauthz:RegisterKey`Tindakan ini memungkinkan Anda mengaitkan AWS KMS kunci dengan izin dukungan. Tindakan hanya izin ini harus ada dalam kebijakan IAM Anda agar AWS Dukungan otorisasi berfungsi.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportauthz:CreateSupportPermit",
                "supportauthz:RegisterKey",
                "supportauthz:DeleteSupportPermit",
                "supportauthz:GetSupportPermit",
                "supportauthz:ListSupportPermits",
                "supportauthz:ListSupportPermitRequests",
                "supportauthz:RejectSupportPermitRequest",
                "supportauthz:GetAction",
                "supportauthz:ListActions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
                    "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
                    "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "DescribeKey",
                        "GetPublicKey",
                        "Sign"
                    ]
                }
            }
        }
    ]
}
```

*Untuk melampirkan kebijakan ini ke pengguna atau peran IAM, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna.AWS Identity and Access Management *

## Langkah 3: Buat izin dukungan pertama Anda
<a name="support-authorization-getting-started-step3"></a>

Buat izin dukungan yang memberi wewenang AWS Dukungan untuk mengakses informasi tentang layanan Anda untuk sumber daya tertentu.

------
#### [ Console ]

1. Masuk ke [AWS Support Center Console](https://console.aws.amazon.com/support).

1. Di panel navigasi, pilih **Otorisasi Dukungan**.

1. Di bagian **Akses yang diberikan**, pilih **Preconfigure access**.

1. Untuk **tipe Access**, pilih salah satu dari berikut ini:
   + **Semua sumber daya yang didukung di Wilayah ini** — Menerapkan akses luas ke seluruh akun Anda di Wilayah yang dipilih.
   + **Pilih sumber daya ARN — Membatasi** akses ke sumber daya tertentu yang Anda identifikasi oleh ARN.

1. (Opsional) Untuk **Detail**, masukkan **Nama** dan **Deskripsi** untuk izin dukungan.

1. Untuk **durasi Akses**, pilih salah satu dari berikut ini:
   + **Tidak ada kedaluwarsa** — Akses tetap aktif sampai Anda mencabutnya.
   + **Durasi kustom** - Tetapkan jendela waktu tertentu di mana izin dukungan valid.

1. Untuk **Tindakan**, pilih tindakan yang AWS Dukungan diizinkan untuk dilakukan:
   + Pilih kotak centang **Semua tindakan** untuk mengizinkan semua tindakan yang tersedia pada sumber daya yang tercakup. Ini menghilangkan batas 10-tindakan.
   + Untuk memilih tindakan tertentu, kosongkan kotak centang **Semua tindakan**. Pilih layanan dari daftar **Layanan**, lalu pilih hingga 10 tindakan individual dari tabel tindakan.

1. Untuk **kunci Penandatanganan**, pilih AWS KMS kunci dari daftar dropdown. Untuk membuat kunci baru, pilih **Buat kunci penandatanganan KMS**.

1. Pilih **Kirim**.

------
#### [ AWS CLI ]

Jalankan perintah berikut untuk membuat izin dukungan berbatas waktu untuk sumber daya tertentu:

```
aws supportauthz create-support-permit \
    --name "MyFirstPermit" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --permit '{
        "actions": {"allActions": {}},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowAfter": "2026-06-01T00:00:00Z"},
            {"allowBefore": "2026-07-01T00:00:00Z"}
        ]
    }'
```

Izin dukungan ini mengizinkan AWS Dukungan untuk melakukan semua tindakan yang tersedia pada klaster Amazon Aurora yang ditentukan selama Juni 2026.

------

## Langkah 4: Tinjau permintaan izin dukungan dari AWS Dukungan
<a name="support-authorization-getting-started-step4"></a>

Ketika AWS Dukungan membutuhkan akses ke informasi tentang layanan Anda dan tidak ada izin dukungan yang cocok, AWS Dukungan kirimkan permintaan izin dukungan. Anda dapat melihat permintaan yang tertunda dan menyetujui atau menolaknya.

------
#### [ Console ]

1. Masuk ke [AWS Support Center Console](https://console.aws.amazon.com/support).

1. Di panel navigasi, pilih **Otorisasi Dukungan**.

1. Di bagian **Permintaan akses tertunda**, tinjau daftar permintaan. Setiap permintaan menunjukkan kasus dukungan terkait, layanan, ARN Permintaan Izin Dukungan, status, dan tanggal akses permintaan.

1. (Opsional) Untuk memfilter permintaan, gunakan filter tarik-turun **Status** dan **Layanan**, atau cari berdasarkan sumber daya di bidang pencarian.

1. Untuk menyetujui atau menolak permintaan, pilih **Kelola akses dukungan**.

------
#### [ AWS CLI ]

Untuk membuat daftar permintaan yang tertunda, jalankan perintah berikut:

```
aws supportauthz list-support-permit-requests
```

**Example Contoh Output**  

```
{
    "supportPermitRequests": [
        {
            "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd",
            "status": "PENDING",
            "supportCaseDisplayId": "case-12345678",
            "requestedActions": ["rds:ReadClusterData"],
            "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"],
            "createdAt": "2026-06-01T12:00:00Z"
        }
    ]
}
```

Untuk menyetujui permintaan ini, buat izin dukungan yang mencakup cakupan yang diminta:

```
aws supportauthz create-support-permit \
    --name "ApproveCase12345678" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --support-case-display-id "case-12345678" \
    --permit '{
        "actions": {"actions": ["rds:ReadClusterData"]},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowBefore": "2026-06-15T00:00:00Z"}
        ]
    }'
```

Untuk menolak permintaan, jalankan perintah berikut. Ini memberi tahu AWS Dukungan bahwa Anda tidak ingin menerima permintaan tersebut. Menolak permintaan tidak mencegah Anda membuat izin dukungan untuk tindakan dan sumber daya yang sama nanti.

```
aws supportauthz reject-support-permit-request \
    --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"
```

------

Tinjau setiap permintaan dan putuskan apakah akan menyetujui atau menolaknya:
+ **Untuk menyetujui**: Buat izin dukungan yang mencakup cakupan yang diminta. Sertakan `supportCaseDisplayId` parameter untuk secara otomatis menonaktifkan izin dukungan saat kasus ditutup.
+ **Untuk menolak**: Panggil `RejectSupportPermitRequest` untuk memberi tahu AWS Dukungan bahwa Anda tidak ingin menerima permintaan. Menolak permintaan tidak mencegah Anda membuat izin dukungan untuk tindakan dan sumber daya yang sama nanti.

## Langkah selanjutnya
<a name="support-authorization-getting-started-next-steps"></a>

Setelah Anda menyelesaikan tutorial ini, lihat topik-topik berikut:
+ Untuk mempelajari lebih lanjut tentang izin dukungan pelingkupan, lihat. [Mengelola izin dukungan](support-authorization-permits.md)
+ Untuk memantau tindakan dukungan pada sumber daya Anda, lihat[Memantau AWS Dukungan otorisasi dengan AWS CloudTrail](support-authorization-monitoring.md).