

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conceitos básicos de AWS Support autorização
<a name="support-authorization-getting-started"></a>

Este tutorial explica como configurar a AWS Support autorização e criar sua primeira permissão de suporte. Você conclui as seguintes etapas:

Este tutorial leva aproximadamente 10 minutos para ser concluído.

1. Crie uma chave AWS KMS de assinatura

1. Configurar permissões do IAM.

1. Crie sua primeira licença de suporte

1. Analise as solicitações de permissão de suporte de AWS Support

## Pré-requisitos
<a name="support-authorization-getting-started-prereqs"></a>

Antes de começar, verifique se você tem o seguinte:
+ Uma AWS conta ativa
+ Permissões para criar AWS KMS chaves em sua conta
+ Permissões para criar políticas do IAM e anexá-las a usuários ou funções

## Etapa 1: criar um AWS KMS chave de assinatura
<a name="support-authorization-getting-started-step1"></a>

AWS Support a autorização requer uma AWS KMS chave com a especificação `ECC_NIST_P384` e o uso `SIGN_VERIFY` da chave. A chave deve estar na mesma região da sua permissão de suporte.

**nota**  
Se você já tem uma AWS KMS chave com especificação `ECC_NIST_P384` e uso da chave `SIGN_VERIFY` na mesma região, você pode pular esta etapa e usar essa chave.

Para criar a chave, execute o seguinte comando da AWS CLI:

```
aws kms create-key \
    --key-usage SIGN_VERIFY \
    --key-spec ECC_NIST_P384 \
    --description "SupportAuthZ signing key" \
    --tags TagKey=supportauthz:managed,TagValue=true \
    --region us-east-1
```

Observe a chave ARN na saída. Você usa esse valor ao criar licenças de suporte.

Inclua as declarações de política de AWS Support autorização necessárias na `create-key` chamada. Para obter as declarações necessárias, consulte[Configurar AWS KMS chaves para AWS Support autorização](support-authorization-kms.md).

**Example Exemplo de saída de**  

```
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeySpec": "ECC_NIST_P384",
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

## Etapa 2: configurar as permissões do IAM
<a name="support-authorization-getting-started-step2"></a>

Anexe uma política do IAM que conceda permissões para operações de API de AWS Support autorização. O exemplo de política a seguir concede acesso a todas as ações de AWS Support autorização.

A `supportauthz:RegisterKey` ação permite associar AWS KMS chaves a permissões de suporte. Essa ação somente de permissão deve estar presente na sua política do IAM para que a AWS Support autorização funcione.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportauthz:CreateSupportPermit",
                "supportauthz:RegisterKey",
                "supportauthz:DeleteSupportPermit",
                "supportauthz:GetSupportPermit",
                "supportauthz:ListSupportPermits",
                "supportauthz:ListSupportPermitRequests",
                "supportauthz:RejectSupportPermitRequest",
                "supportauthz:GetAction",
                "supportauthz:ListActions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
                    "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
                    "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "DescribeKey",
                        "GetPublicKey",
                        "Sign"
                    ]
                }
            }
        }
    ]
}
```

Para anexar essa política a um usuário ou função do IAM, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia AWS Identity and Access Management do usuário*.

## Etapa 3: Crie sua primeira licença de suporte
<a name="support-authorization-getting-started-step3"></a>

Crie uma licença de suporte que autorize AWS Support o acesso a informações sobre seus serviços para recursos específicos.

------
#### [ Console ]

1. Faça login no [AWS Support Center Console](https://console.aws.amazon.com/support).

1. No painel de navegação, escolha **Autorização de suporte**.

1. Na seção **Acesso concedido**, escolha **Pré-configurar acesso**.

1. Para **Tipo de acesso**, escolha uma das seguintes opções:
   + **Todos os recursos suportados nesta região** — aplica amplo acesso a toda a sua conta na região selecionada.
   + **Escolha o ARN do recurso** — Limita o acesso a um recurso específico que você identifica pelo ARN.

1. (Opcional) Para **obter detalhes**, insira um **nome** e uma **descrição** para a permissão de suporte.

1. Para a **duração do Access**, escolha uma das seguintes opções:
   + **Sem expiração** — o acesso permanece ativo até que você o revogue.
   + **Duração personalizada** — Defina uma janela de tempo específica durante a qual a licença de suporte é válida.

1. Em **Ações**, escolha as ações AWS Support que podem ser executadas:
   + Marque a caixa de seleção **Todas as ações** para permitir todas as ações disponíveis nos recursos cobertos. Isso remove o limite de 10 ações.
   + Para escolher ações específicas, desmarque a caixa de seleção **Todas as ações**. Selecione um serviço na lista **Serviços** e, em seguida, selecione até 10 ações individuais na tabela de ações.

1. Em **Chave de assinatura**, escolha uma AWS KMS chave na lista suspensa. Para criar uma nova chave, escolha **Criar chave de assinatura KMS**.

1. Selecione **Enviar**.

------
#### [ AWS CLI ]

Execute o comando a seguir para criar uma permissão de suporte com limite de tempo para um recurso específico:

```
aws supportauthz create-support-permit \
    --name "MyFirstPermit" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --permit '{
        "actions": {"allActions": {}},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowAfter": "2026-06-01T00:00:00Z"},
            {"allowBefore": "2026-07-01T00:00:00Z"}
        ]
    }'
```

Essa licença de suporte AWS Support autoriza a execução de todas as ações disponíveis no cluster Amazon Aurora especificado durante junho de 2026.

------

## Etapa 4: analisar as solicitações de permissão de suporte do AWS Support
<a name="support-authorization-getting-started-step4"></a>

Quando AWS Support precisar acessar informações sobre seus serviços e não existir uma licença de suporte correspondente, AWS Support envia uma solicitação de permissão de suporte. Você pode visualizar solicitações pendentes e aprová-las ou rejeitá-las.

------
#### [ Console ]

1. Faça login no [AWS Support Center Console](https://console.aws.amazon.com/support).

1. No painel de navegação, escolha **Autorização de suporte**.

1. Na seção **Solicitações de acesso pendentes**, revise a lista de solicitações. Cada solicitação mostra o caso de suporte associado, o serviço, o ARN da Solicitação de Permissão de Suporte, o status e a data de acesso da solicitação.

1. (Opcional) Para filtrar solicitações, use os filtros **suspensos **Status** e Serviço** ou pesquise por recurso no campo de pesquisa.

1. Para aprovar ou rejeitar uma solicitação, escolha **Gerenciar acesso ao suporte**.

------
#### [ AWS CLI ]

Para listar solicitações pendentes, execute o seguinte comando:

```
aws supportauthz list-support-permit-requests
```

**Example Exemplo de saída de**  

```
{
    "supportPermitRequests": [
        {
            "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd",
            "status": "PENDING",
            "supportCaseDisplayId": "case-12345678",
            "requestedActions": ["rds:ReadClusterData"],
            "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"],
            "createdAt": "2026-06-01T12:00:00Z"
        }
    ]
}
```

Para aprovar essa solicitação, crie uma licença de suporte que cubra o escopo solicitado:

```
aws supportauthz create-support-permit \
    --name "ApproveCase12345678" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --support-case-display-id "case-12345678" \
    --permit '{
        "actions": {"actions": ["rds:ReadClusterData"]},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowBefore": "2026-06-15T00:00:00Z"}
        ]
    }'
```

Para rejeitar uma solicitação, execute o comando a seguir. Isso notifica AWS Support que você não deseja aceitar a solicitação. A rejeição de uma solicitação não impede que você crie uma permissão de suporte para as mesmas ações e recursos posteriormente.

```
aws supportauthz reject-support-permit-request \
    --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"
```

------

Analise cada solicitação e decida se deseja aprová-la ou rejeitá-la:
+ **Para aprovar**: crie uma licença de suporte que cubra o escopo solicitado. Inclua o `supportCaseDisplayId` parâmetro para desativar automaticamente a permissão de suporte quando o caso for encerrado.
+ **Para rejeitar**: ligue `RejectSupportPermitRequest` para notificar AWS Support que você não quer aceitar a solicitação. A rejeição de uma solicitação não impede que você crie uma permissão de suporte para as mesmas ações e recursos posteriormente.

## Próximas etapas
<a name="support-authorization-getting-started-next-steps"></a>

Depois de concluir este tutorial, consulte os tópicos a seguir:
+ Para saber mais sobre como definir o escopo das licenças de suporte, consulte. [Gerenciando licenças de suporte](support-authorization-permits.md)
+ Para monitorar as ações de suporte em seus recursos, consulte[Monitoramento AWS Support autorização com AWS CloudTrail](support-authorization-monitoring.md).