

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar AWS KMS chaves para AWS Support autorização
<a name="support-authorization-kms"></a>

## Requisitos de chave
<a name="support-authorization-kms-requirements"></a>

É necessária uma AWS KMS chave gerenciada pelo cliente para a assinatura criptográfica das licenças de suporte. Sua chave deve atender aos seguintes requisitos:
+ Especificação chave: `ECC_NIST_P384`
+ Uso da chave: `SIGN_VERIFY`
+ A chave deve estar na mesma AWS região da licença de suporte.

Seu material de chave privada nunca sai AWS KMS. Você cria uma concessão em sua chave que permite que ela chame `DescribeKey``GetPublicKey`, `Sign` e. A concessão tem como escopo a permissão de suporte e é cancelada quando a permissão de suporte é excluída ou desativada.

## Como AWS Support a autorização usa seu AWS KMS key
<a name="support-authorization-kms-how-used"></a>

Quando você cria uma licença de suporte, sua AWS KMS chave é usada da seguinte forma:

1. Usa [sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) para `DescribeKey` ligar em seu nome, verificando se a chave atende às especificações (`ECC_NIST_P384`) e ao uso (`SIGN_VERIFY`) necessários.

1. Cria uma concessão na chave ligando `CreateGrant` em seu nome. O subsídio permite `DescribeKey``GetPublicKey`, e `Sign` opera.

1. Verifica a autorização quando uma AWS Support solicitação corresponde a uma permissão de suporte existente usando a concessão para chamar `Sign` a chave. A assinatura resultante verifica se AWS Support está autorizado a realizar a ação.

## Declarações políticas fundamentais obrigatórias
<a name="support-authorization-kms-policy"></a>

Adicione as seguintes declarações de política à sua política AWS KMS principal. Essas são as permissões mínimas necessárias para AWS Support autorização para usar sua chave.

```
{
  "Sid": "Allows access to CreateGrant through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:CreateGrant"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
      "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
      "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
    },
    "ForAllValues:StringEquals": {
      "kms:GrantOperations": ["DescribeKey", "GetPublicKey", "Sign"]
    },
    "ArnLike": {
      "kms:GrantConstraintSourceArn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermit/*"
    }
  }
},
{
  "Sid": "Allows access to DescribeKey through SupportAuthZ",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleRole"},
  "Action": ["kms:DescribeKey"],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
    }
  }
}
```

Essas declarações concedem as seguintes permissões:

CreateGrant  
Permite a criação de subsídios para `DescribeKey``GetPublicKey`,, e `Sign` operações. As condições restringem a criação de concessões às solicitações feitas por meio do serviço de AWS Support autorização e têm como escopo oferecer suporte a recursos de permissão em sua conta. AWS Support a autorização usa [sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) para ligar `CreateGrant` como parte da criação de uma licença de suporte.

DescribeKey  
Permite verificar se a chave atende às especificações e ao tipo de uso necessários quando você cria uma licença de suporte usando sessões de acesso direto.

**nota**  
`111122223333`Substitua pelo ID AWS da sua conta e `us-east-1` pela AWS região em que você criou suas licenças de suporte.

## Revogando AWS Support acesso de autorização
<a name="support-authorization-kms-revoke"></a>

A forma recomendada de revogar as permissões de assinatura da sua chave é revogar a concessão. Isso evita mais operações de assinatura sem afetar outros usos da chave.

Para listar e revogar concessões para AWS Support autorização:

1. Liste os subsídios na chave para encontrar o ID do subsídio:

   ```
   aws kms list-grants \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
   ```

   Identifique a concessão pelo nome ou pelo ARN de `GrantConstraints` origem que faz referência à sua permissão de suporte.

1. Revogue a concessão:

   ```
   aws kms revoke-grant \
       --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --grant-id grant-id-from-list-grants
   ```

Depois de revogar a concessão, novas autorizações assinadas não poderão mais ser emitidas para qualquer permissão de suporte que use essa chave. Como a AWS KMS API segue um modelo de consistência eventual, pode haver um breve atraso até que a alteração esteja disponível por completo. AWS KMS

**nota**  
A revogação de uma concessão não exclui a permissão de suporte associada. A permissão de suporte permanece no estado ATIVO, mas as autorizações não podem ser assinadas para ela. Os subsídios são específicos para cada permissão de apoio. Criar uma nova licença de suporte com a mesma AWS KMS chave não restaura a capacidade da AWS Support autorização de usar a chave para a licença de suporte original.

## Desativando ou excluindo a chave
<a name="support-authorization-kms-disable-delete"></a>

Você também pode desativar ou programar a exclusão da AWS KMS chave para impedir que a AWS Support autorização emita autorizações assinadas. No entanto, isso afeta todos os usos da chave, não apenas a AWS Support autorização.

**Importante**  
Ambas AWS KMS e a AWS Support autorização acabam sendo consistentes. Depois de desativar ou programar a exclusão de uma chave, pode levar alguns minutos para que a alteração tenha efeito total. Durante esse período, as autorizações assinadas podem continuar sendo emitidas usando a chave. Eventualmente, a revogação do subsídio também é consistente.

Se você desabilitar uma chave, poderá reativá-la no AWS KMS console ou ligando para `EnableKey` ela. Se você excluir uma chave, ela não poderá ser recuperada.

## Monitorando o uso da chave
<a name="support-authorization-kms-monitoring"></a>

Quando sua AWS KMS chave é usada para assinar uma autorização, AWS CloudTrail registra a operação de assinatura no histórico de eventos da chave. Você pode usar esses eventos para auditar quando e com que frequência as autorizações são assinadas em seu nome.