View a markdown version of this page

开始使用 AWS 支持 授权 - AWS 支持

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用 AWS 支持 授权

本教程将引导您完成设置 AWS 支持 授权和创建第一个支持许可证的过程。您完成以下步骤:

本教程大约需要 10 分钟才能完成。

  1. 创建 AWS KMS 签名密钥

  2. 设置 IAM 权限

  3. 创建您的第一份支持许可证

  4. 查看来自的支持许可申请 AWS 支持

先决条件

在开始之前,请确认您已具备以下条件:

  • 一个活跃的 AWS 账户

  • 在您的账户中创建 AWS KMS 密钥的权限

  • 创建 IAM 策略并将其附加到用户或角色的权限

步骤 1:创建一个 AWS KMS 签名密钥

AWS 支持 授权需要一个包含 AWS KMS 密钥规格ECC_NIST_P384和密钥用法的密钥SIGN_VERIFY。密钥必须与您的支持许可位于同一区域。

注意

如果您已经SIGN_VERIFY在同一地区拥有具有 AWS KMS 密钥规格ECC_NIST_P384和密钥用法的密钥,则可以跳过此步骤并使用该密钥。

要创建密钥,请运行以下 AWS CLI 命令:

aws kms create-key \ --key-usage SIGN_VERIFY \ --key-spec ECC_NIST_P384 \ --description "SupportAuthZ signing key" \ --tags TagKey=supportauthz:managed,TagValue=true \ --region us-east-1

记下输出中的密钥 ARN。创建支持许可证时使用此值。

create-key通话中加入所需的 AWS 支持 授权策略声明。有关必需的语句,请参见配置 AWS KMS 的钥匙 AWS 支持 授权

例输出示例
{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeySpec": "ECC_NIST_P384", "KeyUsage": "SIGN_VERIFY" } }

第 2 步:设置 IAM 权限

附上 AWS 支持 授权 API 操作权限的 IAM 策略。以下示例策略授予对所有 AWS 支持 授权操作的访问权限。

supportauthz:RegisterKey操作允许您将 AWS KMS 密钥与支持许可相关联。此仅限权限的操作必须存在于您的 IAM 策略中, AWS 支持 授权才能生效。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportauthz:CreateSupportPermit", "supportauthz:RegisterKey", "supportauthz:DeleteSupportPermit", "supportauthz:GetSupportPermit", "supportauthz:ListSupportPermits", "supportauthz:ListSupportPermitRequests", "supportauthz:RejectSupportPermitRequest", "supportauthz:GetAction", "supportauthz:ListActions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "DescribeKey", "GetPublicKey", "Sign" ] } } } ] }

要将此策略附加到 IAM 用户或角色,请参阅AWS Identity and Access Management 用户指南中的添加和删除 IAM 身份权限

第 3 步:创建您的第一份支持许可证

创建支持许可证,授权 AWS 支持 访问特定资源的服务相关信息。

Console
  1. 登录到 AWS Support Center Console

  2. 在导航窗格中,选择 Supp ort 授权

  3. 在 “已授予的访问权限” 部分,选择 “预配置访问权限”。

  4. 对于访问类型,请选择以下选项之一:

    • 该地区支持的所有资源-在所选地区对您的整个账户应用广泛访问权限。

    • 选择资源 ARN-限制对您通过 ARN 标识的特定资源的访问权限。

  5. (可选)在详细信息中,输入支持许可证的名称描述

  6. 对于访问持续时间,请选择以下选项之一:

    • 无过期-在您撤消访问权限之前,访问权限将保持活动状态。

    • 自定义持续时间-设置支持许可证有效的特定时间窗口。

  7. 在 “操作” 中 AWS 支持 ,选择允许执行的操作:

    • 选中 “所有操作” 复选框以允许对涵盖的资源执行所有可用操作。这取消了 10 个操作的限制。

    • 要选择特定操作,请清除 “所有操作” 复选框。从 “服务” 列表中选择一项服务,然后从操作表格中最多选择 10 个单独的操作。

  8. 对于签名密钥,请从下拉列表中选择一个 AWS KMS 密钥。要创建新密钥,请选择创建 KMS 签名密钥

  9. 选择提交

AWS CLI

运行以下命令为特定资源创建有时限的支持许可:

aws supportauthz create-support-permit \ --name "MyFirstPermit" \ --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \ --permit '{ "actions": {"allActions": {}}, "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]}, "conditions": [ {"allowAfter": "2026-06-01T00:00:00Z"}, {"allowBefore": "2026-07-01T00:00:00Z"} ] }'

该支持许可证授权 AWS 支持 在 2026 年 6 月期间在指定的 Amazon Aurora 集群上执行所有可用操作。

第 4 步:查看来自的支持许可申请 AWS 支持

当 AWS 支持 需要访问有关您的服务的信息并且不存在匹配的支持许可时,请 AWS 支持 提交支持许可申请。您可以查看待处理的请求并批准或拒绝它们。

Console
  1. 登录到 AWS Support Center Console

  2. 在导航窗格中,选择 Supp ort 授权

  3. 在 “待处理的访问请求” 部分,查看请求列表。每个请求都显示相关的支持案例、服务、Support Permit Request ARN、状态和请求访问日期。

  4. (可选)要筛选请求,请使用状态服务下拉筛选器,或在搜索字段中按资源进行搜索。

  5. 要批准或拒绝请求,请选择管理支持访问权限

AWS CLI

要列出待处理的请求,请运行以下命令:

aws supportauthz list-support-permit-requests
例输出示例
{ "supportPermitRequests": [ { "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd", "status": "PENDING", "supportCaseDisplayId": "case-12345678", "requestedActions": ["rds:ReadClusterData"], "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"], "createdAt": "2026-06-01T12:00:00Z" } ] }

要批准此申请,请创建涵盖所请求范围的支持许可:

aws supportauthz create-support-permit \ --name "ApproveCase12345678" \ --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \ --support-case-display-id "case-12345678" \ --permit '{ "actions": {"actions": ["rds:ReadClusterData"]}, "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]}, "conditions": [ {"allowBefore": "2026-06-15T00:00:00Z"} ] }'

要拒绝请求,请运行以下命令。这会 AWS 支持 通知你不想接受该请求。拒绝请求并不会阻止您以后为相同的操作和资源创建支持许可。

aws supportauthz reject-support-permit-request \ --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"

查看每份请求并决定是批准还是拒绝该请求:

  • 批准:创建涵盖所请求范围的支持许可证。包括supportCaseDisplayId参数以在案例结案时自动停用支持许可。

  • 拒绝RejectSupportPermitRequest致电 AWS 支持 通知您不想接受请求。拒绝请求并不会阻止您以后为相同的操作和资源创建支持许可。

后续步骤

完成本教程后,请参阅以下主题: