本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用 AWS 支持 授权
本教程将引导您完成设置 AWS 支持 授权和创建第一个支持许可证的过程。您完成以下步骤:
本教程大约需要 10 分钟才能完成。
创建 AWS KMS 签名密钥
设置 IAM 权限
创建您的第一份支持许可证
查看来自的支持许可申请 AWS 支持
先决条件
在开始之前,请确认您已具备以下条件:
一个活跃的 AWS 账户
在您的账户中创建 AWS KMS 密钥的权限
创建 IAM 策略并将其附加到用户或角色的权限
步骤 1:创建一个 AWS KMS 签名密钥
AWS 支持 授权需要一个包含 AWS KMS 密钥规格ECC_NIST_P384和密钥用法的密钥SIGN_VERIFY。密钥必须与您的支持许可位于同一区域。
注意
如果您已经SIGN_VERIFY在同一地区拥有具有 AWS KMS 密钥规格ECC_NIST_P384和密钥用法的密钥,则可以跳过此步骤并使用该密钥。
要创建密钥,请运行以下 AWS CLI 命令:
aws kms create-key \ --key-usage SIGN_VERIFY \ --key-spec ECC_NIST_P384 \ --description "SupportAuthZ signing key" \ --tags TagKey=supportauthz:managed,TagValue=true \ --region us-east-1
记下输出中的密钥 ARN。创建支持许可证时使用此值。
在create-key通话中加入所需的 AWS 支持 授权策略声明。有关必需的语句,请参见配置 AWS KMS 的钥匙 AWS 支持 授权。
例输出示例
{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeySpec": "ECC_NIST_P384", "KeyUsage": "SIGN_VERIFY" } }
第 2 步:设置 IAM 权限
附上 AWS 支持 授权 API 操作权限的 IAM 策略。以下示例策略授予对所有 AWS 支持 授权操作的访问权限。
该supportauthz:RegisterKey操作允许您将 AWS KMS 密钥与支持许可相关联。此仅限权限的操作必须存在于您的 IAM 策略中, AWS 支持 授权才能生效。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportauthz:CreateSupportPermit", "supportauthz:RegisterKey", "supportauthz:DeleteSupportPermit", "supportauthz:GetSupportPermit", "supportauthz:ListSupportPermits", "supportauthz:ListSupportPermitRequests", "supportauthz:RejectSupportPermitRequest", "supportauthz:GetAction", "supportauthz:ListActions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "DescribeKey", "GetPublicKey", "Sign" ] } } } ] }
要将此策略附加到 IAM 用户或角色,请参阅AWS Identity and Access Management 用户指南中的添加和删除 IAM 身份权限。
第 3 步:创建您的第一份支持许可证
创建支持许可证,授权 AWS 支持 访问特定资源的服务相关信息。
第 4 步:查看来自的支持许可申请 AWS 支持
当 AWS 支持 需要访问有关您的服务的信息并且不存在匹配的支持许可时,请 AWS 支持 提交支持许可申请。您可以查看待处理的请求并批准或拒绝它们。
查看每份请求并决定是批准还是拒绝该请求:
-
批准:创建涵盖所请求范围的支持许可证。包括
supportCaseDisplayId参数以在案例结案时自动停用支持许可。 -
拒绝:
RejectSupportPermitRequest致电 AWS 支持 通知您不想接受请求。拒绝请求并不会阻止您以后为相同的操作和资源创建支持许可。
后续步骤
完成本教程后,请参阅以下主题:
要了解有关确定支持许可范围的更多信息,请参阅管理支持许可。
要监控对您的资源的支持操作,请参阅监控 AWS 支持 授权 AWS CloudTrail。