

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Nozioni di base su Supporto AWS authorization
<a name="support-authorization-getting-started"></a>

Questo tutorial ti guida nella configurazione Supporto AWS dell'autorizzazione e nella creazione del tuo primo permesso di supporto. Completa i seguenti passaggi:

Il completamento di questo tutorial richiede circa 10 minuti.

1. Crea una chiave di AWS KMS firma

1. Impostare autorizzazioni IAM

1. Crea il tuo primo permesso di assistenza

1. Rivedi le richieste di autorizzazione all'assistenza inviate da Supporto AWS

## Prerequisiti
<a name="support-authorization-getting-started-prereqs"></a>

Prima di iniziare, verifica di disporre di quanto segue:
+ Un AWS account attivo
+ Autorizzazioni per creare AWS KMS chiavi nel tuo account
+ Autorizzazioni per creare policy IAM e associarle a utenti o ruoli

## Fase 1: Creare un AWS KMS chiave di firma
<a name="support-authorization-getting-started-step1"></a>

Supporto AWS l'autorizzazione richiede una AWS KMS chiave con le specifiche `ECC_NIST_P384` e l'utilizzo `SIGN_VERIFY` della chiave. La chiave deve trovarsi nella stessa regione del permesso di assistenza.

**Nota**  
Se disponi già di una AWS KMS chiave con specifiche `ECC_NIST_P384` e utilizzo della chiave `SIGN_VERIFY` nella stessa regione, puoi saltare questo passaggio e utilizzare quella chiave.

Per creare la chiave, esegui il seguente comando AWS CLI:

```
aws kms create-key \
    --key-usage SIGN_VERIFY \
    --key-spec ECC_NIST_P384 \
    --description "SupportAuthZ signing key" \
    --tags TagKey=supportauthz:managed,TagValue=true \
    --region us-east-1
```

Notate la chiave ARN dall'output. Questo valore viene utilizzato quando si creano i permessi di supporto.

Includi le dichiarazioni sulla politica di Supporto AWS autorizzazione richieste nella `create-key` chiamata. Per le dichiarazioni richieste, vedere[Configurazione AWS KMS chiavi per Supporto AWS authorization](support-authorization-kms.md).

**Example Output di esempio**  

```
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeySpec": "ECC_NIST_P384",
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

## Passaggio 2: configurare le autorizzazioni IAM
<a name="support-authorization-getting-started-step2"></a>

Allega una policy IAM che conceda le autorizzazioni per le operazioni dell'API di Supporto AWS autorizzazione. La seguente politica di esempio concede l'accesso a tutte le Supporto AWS azioni di autorizzazione.

L'`supportauthz:RegisterKey`azione consente di associare AWS KMS le chiavi ai permessi di supporto. Questa azione di sola autorizzazione deve essere presente nella politica IAM affinché Supporto AWS l'autorizzazione funzioni.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportauthz:CreateSupportPermit",
                "supportauthz:RegisterKey",
                "supportauthz:DeleteSupportPermit",
                "supportauthz:GetSupportPermit",
                "supportauthz:ListSupportPermits",
                "supportauthz:ListSupportPermitRequests",
                "supportauthz:RejectSupportPermitRequest",
                "supportauthz:GetAction",
                "supportauthz:ListActions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
                    "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
                    "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "DescribeKey",
                        "GetPublicKey",
                        "Sign"
                    ]
                }
            }
        }
    ]
}
```

*Per associare questa policy a un utente o a un ruolo IAM, consulta [Aggiungere e rimuovere i permessi di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella Guida per l'utente.AWS Identity and Access Management *

## Fase 3: Crea il tuo primo permesso di assistenza
<a name="support-authorization-getting-started-step3"></a>

Crea un permesso di supporto che autorizzi Supporto AWS ad accedere alle informazioni sui tuoi servizi per risorse specifiche.

------
#### [ Console ]

1. Accedi alla [AWS Support Center Console](https://console.aws.amazon.com/support).

1. Nel riquadro di navigazione, scegli **Autorizzazione Support**.

1. Nella sezione **Accesso concesso**, scegli **Preconfigura l'accesso**.

1. Per **Tipo di accesso**, scegli una delle seguenti opzioni:
   + **Tutte le risorse supportate in questa regione**: consente un ampio accesso all'intero account nella regione selezionata.
   + **Scegli l'ARN della risorsa**: limita l'accesso a una risorsa specifica identificata tramite ARN.

1. (Facoltativo) Per **i dettagli**, inserisci un **nome** e una **descrizione** per il permesso di supporto.

1. Per la **durata dell'accesso**, scegli una delle seguenti opzioni:
   + **Nessuna scadenza**: l'accesso rimane attivo fino alla revoca.
   + **Durata personalizzata**: imposta una finestra temporale specifica durante la quale il permesso di assistenza è valido.

1. Per **Azioni**, scegli le azioni Supporto AWS che puoi eseguire:
   + Seleziona la casella di controllo **Tutte le azioni** per consentire tutte le azioni disponibili sulle risorse coperte. Ciò rimuove il limite di 10 azioni.
   + Per scegliere azioni specifiche, deseleziona la casella di controllo **Tutte le azioni**. Seleziona un servizio dall'elenco **Servizi**, quindi seleziona fino a 10 azioni singole dalla tabella delle azioni.

1. Per **Chiave di firma**, scegli una AWS KMS chiave dall'elenco a discesa. Per creare una nuova chiave, scegli **Crea chiave di firma KMS**.

1. Seleziona **Invia**.

------
#### [ AWS CLI ]

Esegui il comando seguente per creare un permesso di supporto limitato nel tempo per una risorsa specifica:

```
aws supportauthz create-support-permit \
    --name "MyFirstPermit" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --permit '{
        "actions": {"allActions": {}},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowAfter": "2026-06-01T00:00:00Z"},
            {"allowBefore": "2026-07-01T00:00:00Z"}
        ]
    }'
```

Questa autorizzazione di supporto Supporto AWS autorizza a eseguire tutte le azioni disponibili sul cluster Amazon Aurora specificato nel mese di giugno 2026.

------

## Passaggio 4: esamina le richieste di autorizzazione all'assistenza inviate da Supporto AWS
<a name="support-authorization-getting-started-step4"></a>

Quando è Supporto AWS necessario accedere alle informazioni sui tuoi servizi e non esiste alcun permesso di assistenza corrispondente, Supporto AWS invia una richiesta di autorizzazione all'assistenza. È possibile visualizzare le richieste in sospeso e approvarle o rifiutarle.

------
#### [ Console ]

1. Accedi alla [AWS Support Center Console](https://console.aws.amazon.com/support).

1. Nel riquadro di navigazione, scegli **Autorizzazione Support**.

1. Nella sezione **Richieste di accesso in sospeso**, esamina l'elenco delle richieste. Ogni richiesta mostra il caso di supporto associato, il servizio, l'ARN della Support Permit Request, lo stato e la data di accesso alla richiesta.

1. (Facoltativo) Per filtrare le richieste, utilizza i filtri a discesa **Status** e **Service** o cerca per risorsa nel campo di ricerca.

1. Per approvare o rifiutare una richiesta, scegli **Gestisci** l'accesso all'assistenza.

------
#### [ AWS CLI ]

Per elencare le richieste in sospeso, esegui il seguente comando:

```
aws supportauthz list-support-permit-requests
```

**Example Output di esempio**  

```
{
    "supportPermitRequests": [
        {
            "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd",
            "status": "PENDING",
            "supportCaseDisplayId": "case-12345678",
            "requestedActions": ["rds:ReadClusterData"],
            "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"],
            "createdAt": "2026-06-01T12:00:00Z"
        }
    ]
}
```

Per approvare questa richiesta, crea un permesso di supporto che copra l'ambito richiesto:

```
aws supportauthz create-support-permit \
    --name "ApproveCase12345678" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --support-case-display-id "case-12345678" \
    --permit '{
        "actions": {"actions": ["rds:ReadClusterData"]},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowBefore": "2026-06-15T00:00:00Z"}
        ]
    }'
```

Per rifiutare una richiesta, esegui il comando seguente. Questo notifica Supporto AWS che non vuoi accettare la richiesta. Il rifiuto di una richiesta non ti impedisce di creare un permesso di supporto per le stesse azioni e risorse in un secondo momento.

```
aws supportauthz reject-support-permit-request \
    --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"
```

------

Esamina ogni richiesta e decidi se approvarla o rifiutarla:
+ **Per approvare**: crea un permesso di supporto che copra l'ambito richiesto. Includi il `supportCaseDisplayId` parametro per disattivare automaticamente il permesso di assistenza alla chiusura del caso.
+ **Per rifiutare**: chiama `RejectSupportPermitRequest` per notificare Supporto AWS che non desideri accettare la richiesta. Il rifiuto di una richiesta non ti impedisce di creare un permesso di supporto per le stesse azioni e risorse in un secondo momento.

## Fasi successive
<a name="support-authorization-getting-started-next-steps"></a>

Dopo aver completato questo tutorial, consulta i seguenti argomenti:
+ Per ulteriori informazioni sull'ambito dei permessi di supporto, consulta. [Gestione dei permessi di supporto](support-authorization-permits.md)
+ Per monitorare le azioni di supporto sulle tue risorse, consulta. [Monitoraggio Supporto AWS autorizzazione con AWS CloudTrail](support-authorization-monitoring.md)