기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Support 권한 부여 시작하기
이 자습서에서는 AWS Support 권한 부여를 설정하고 첫 번째 지원 허가를 생성하는 방법을 안내합니다. 다음 단계를 완료합니다.
이 자습서를 완료하는 데 약 10분이 걸립니다.
AWS KMS 서명 키 생성
IAM 권한 설정
첫 번째 지원 허가 생성
의 지원 허용 요청 검토 AWS Support
사전 조건
시작하기 전에 다음이 있는지 확인합니다.
활성 AWS 계정
계정에서 AWS KMS 키를 생성할 수 있는 권한
IAM 정책을 생성하고 사용자 또는 역할에 연결할 수 있는 권한
1단계: AWS KMS 서명 키 생성
AWS Support 권한 부여에는 AWS KMS 키 사양 ECC_NIST_P384 및 키 사용량이 인 키가 필요합니다SIGN_VERIFY. 키는 지원에서 허용하는 리전과 동일한 리전에 있어야 합니다.
참고
동일한 리전SIGN_VERIFY에 AWS KMS 키 사양 ECC_NIST_P384 및 키 사용량이 있는 키가 이미 있는 경우이 단계를 건너뛰고 해당 키를 사용할 수 있습니다.
키를 생성하려면 다음 AWS CLI 명령을 실행합니다.
aws kms create-key \ --key-usage SIGN_VERIFY \ --key-spec ECC_NIST_P384 \ --description "SupportAuthZ signing key" \ --tags TagKey=supportauthz:managed,TagValue=true \ --region us-east-1
출력의 키 ARN을 기록해 둡니다. 지원 허가를 생성할 때이 값을 사용합니다.
create-key 호출에 필요한 AWS Support 권한 부여 정책 설명을 포함합니다. 필수 명령문은 단원을 참조하십시오AWS Support 권한 부여를 위한 AWS KMS 키 구성.
예출력 예시
{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeySpec": "ECC_NIST_P384", "KeyUsage": "SIGN_VERIFY" } }
2단계: IAM 권한 설정
AWS Support 권한 부여 API 작업에 대한 권한을 부여하는 IAM 정책을 연결합니다. 다음 예제 정책은 모든 AWS Support 권한 부여 작업에 대한 액세스 권한을 부여합니다.
supportauthz:RegisterKey 작업을 통해 AWS KMS 키를 지원 권한과 연결할 수 있습니다. 권한 부여가 작동하려면 IAM 정책에이 AWS Support 권한 전용 작업이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportauthz:CreateSupportPermit", "supportauthz:RegisterKey", "supportauthz:DeleteSupportPermit", "supportauthz:GetSupportPermit", "supportauthz:ListSupportPermits", "supportauthz:ListSupportPermitRequests", "supportauthz:RejectSupportPermitRequest", "supportauthz:GetAction", "supportauthz:ListActions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "DescribeKey", "GetPublicKey", "Sign" ] } } } ] }
이 정책을 IAM 사용자 또는 역할에 연결하려면 AWS Identity and Access Management 사용 설명서의 IAM 자격 증명 권한 추가 및 제거를 참조하세요.
3단계: 첫 번째 지원 허가 생성
가 특정 리소스에 대한 서비스에 대한 정보에 액세스할 수 AWS Support 있도록 권한을 부여하는 지원 허가를 생성합니다.
4단계:의 지원 허용 요청 검토 AWS Support
가 서비스에 대한 정보에 액세스 AWS Support 해야 하고 일치하는 지원 허가가 없는 경우는 지원 허가 요청을 AWS Support 제출합니다. 보류 중인 요청을 보고 승인하거나 거부할 수 있습니다.
각 요청을 검토하고 승인 또는 거부 여부를 결정합니다.
-
승인하려면: 요청된 범위를 포함하는 지원 허가를 생성합니다. 사례가 종료될 때 지원 허가를 자동으로 비활성화하는
supportCaseDisplayId파라미터를 포함합니다. -
거부하려면:를 호출
RejectSupportPermitRequest하여 요청을 수락하고 싶지 AWS Support 않다고 알립니다. 요청을 거부해도 나중에 동일한 작업 및 리소스에 대한 지원 허가를 생성할 수 없습니다.
다음 단계
이 자습서를 완료한 후 다음 주제를 참조하십시오.
지원 허용 범위 조정에 대한 자세한 내용은 섹션을 참조하세요지원 권한 관리.
리소스에 대한 지원 작업을 모니터링하려면 섹션을 참조하세요를 사용하여 AWS Support 권한 부여 모니터링 AWS CloudTrail.