

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用 AWS 支持 授权
<a name="support-authorization-getting-started"></a>

本教程将引导您完成设置 AWS 支持 授权和创建第一个支持许可证的过程。您完成以下步骤：

本教程大约需要 10 分钟才能完成。

1. 创建 AWS KMS 签名密钥

1. 设置 IAM 权限

1. 创建您的第一份支持许可证

1. 查看来自的支持许可申请 AWS 支持

## 先决条件
<a name="support-authorization-getting-started-prereqs"></a>

在开始之前，请确认您已具备以下条件：
+ 一个活跃的 AWS 账户
+ 在您的账户中创建 AWS KMS 密钥的权限
+ 创建 IAM 策略并将其附加到用户或角色的权限

## 步骤 1：创建一个 AWS KMS 签名密钥
<a name="support-authorization-getting-started-step1"></a>

AWS 支持 授权需要一个包含 AWS KMS 密钥规格`ECC_NIST_P384`和密钥用法的密钥`SIGN_VERIFY`。密钥必须与您的支持许可位于同一区域。

**注意**  
如果您已经`SIGN_VERIFY`在同一地区拥有具有 AWS KMS 密钥规格`ECC_NIST_P384`和密钥用法的密钥，则可以跳过此步骤并使用该密钥。

要创建密钥，请运行以下 AWS CLI 命令：

```
aws kms create-key \
    --key-usage SIGN_VERIFY \
    --key-spec ECC_NIST_P384 \
    --description "SupportAuthZ signing key" \
    --tags TagKey=supportauthz:managed,TagValue=true \
    --region us-east-1
```

记下输出中的密钥 ARN。创建支持许可证时使用此值。

在`create-key`通话中加入所需的 AWS 支持 授权策略声明。有关必需的语句，请参见[配置 AWS KMS 的钥匙 AWS 支持 授权](support-authorization-kms.md)。

**Example 输出示例**  

```
{
    "KeyMetadata": {
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeySpec": "ECC_NIST_P384",
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

## 第 2 步：设置 IAM 权限
<a name="support-authorization-getting-started-step2"></a>

附上 AWS 支持 授权 API 操作权限的 IAM 策略。以下示例策略授予对所有 AWS 支持 授权操作的访问权限。

该`supportauthz:RegisterKey`操作允许您将 AWS KMS 密钥与支持许可相关联。此仅限权限的操作必须存在于您的 IAM 策略中， AWS 支持 授权才能生效。

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportauthz:CreateSupportPermit",
                "supportauthz:RegisterKey",
                "supportauthz:DeleteSupportPermit",
                "supportauthz:GetSupportPermit",
                "supportauthz:ListSupportPermits",
                "supportauthz:ListSupportPermitRequests",
                "supportauthz:RejectSupportPermitRequest",
                "supportauthz:GetAction",
                "supportauthz:ListActions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "supportauthz.us-east-1.amazonaws.com",
                    "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com",
                    "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "DescribeKey",
                        "GetPublicKey",
                        "Sign"
                    ]
                }
            }
        }
    ]
}
```

要将此策略附加到 IAM 用户或角色，请参阅*AWS Identity and Access Management 用户指南*中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

## 第 3 步：创建您的第一份支持许可证
<a name="support-authorization-getting-started-step3"></a>

创建支持许可证，授权 AWS 支持 访问特定资源的服务相关信息。

------
#### [ Console ]

1. 登录到 [AWS Support Center Console](https://console.aws.amazon.com/support)。

1. 在导航窗格中，选择 Supp **ort 授权**。

1. 在 “**已授予的访问权限**” 部分，选择 “**预配置访问权限**”。

1. 对于**访问类型**，请选择以下选项之一：
   + **该地区支持的所有资源-在**所选地区对您的整个账户应用广泛访问权限。
   + **选择资源 ARN**-限制对您通过 ARN 标识的特定资源的访问权限。

1. （可选）在**详细信息**中，输入支持许可证的**名称**和**描述**。

1. 对于**访问持续时间**，请选择以下选项之一：
   + **无过期**-在您撤消访问权限之前，访问权限将保持活动状态。
   + **自定义持续时间**-设置支持许可证有效的特定时间窗口。

1. 在 “**操作**” 中 AWS 支持 ，选择允许执行的操作：
   + 选中 “**所有操作**” 复选框以允许对涵盖的资源执行所有可用操作。这取消了 10 个操作的限制。
   + 要选择特定操作，请清除 “**所有操作**” 复选框。从 “服务” 列表中选择一项**服务**，然后从操作表格中最多选择 10 个单独的操作。

1. 对于**签名密钥**，请从下拉列表中选择一个 AWS KMS 密钥。要创建新密钥，请选择**创建 KMS 签名密钥**。

1. 选择**提交**。

------
#### [ AWS CLI ]

运行以下命令为特定资源创建有时限的支持许可：

```
aws supportauthz create-support-permit \
    --name "MyFirstPermit" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --permit '{
        "actions": {"allActions": {}},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowAfter": "2026-06-01T00:00:00Z"},
            {"allowBefore": "2026-07-01T00:00:00Z"}
        ]
    }'
```

该支持许可证授权 AWS 支持 在 2026 年 6 月期间在指定的 Amazon Aurora 集群上执行所有可用操作。

------

## 第 4 步：查看来自的支持许可申请 AWS 支持
<a name="support-authorization-getting-started-step4"></a>

当 AWS 支持 需要访问有关您的服务的信息并且不存在匹配的支持许可时，请 AWS 支持 提交支持许可申请。您可以查看待处理的请求并批准或拒绝它们。

------
#### [ Console ]

1. 登录到 [AWS Support Center Console](https://console.aws.amazon.com/support)。

1. 在导航窗格中，选择 Supp **ort 授权**。

1. 在 “**待处理的访问请求**” 部分，查看请求列表。每个请求都显示相关的支持案例、服务、Support Permit Request ARN、状态和请求访问日期。

1. （可选）要筛选请求，请使用**状态**和**服务**下拉筛选器，或在搜索字段中按资源进行搜索。

1. 要批准或拒绝请求，请选择**管理支持访问权限**。

------
#### [ AWS CLI ]

要列出待处理的请求，请运行以下命令：

```
aws supportauthz list-support-permit-requests
```

**Example 输出示例**  

```
{
    "supportPermitRequests": [
        {
            "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd",
            "status": "PENDING",
            "supportCaseDisplayId": "case-12345678",
            "requestedActions": ["rds:ReadClusterData"],
            "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"],
            "createdAt": "2026-06-01T12:00:00Z"
        }
    ]
}
```

要批准此申请，请创建涵盖所请求范围的支持许可：

```
aws supportauthz create-support-permit \
    --name "ApproveCase12345678" \
    --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \
    --support-case-display-id "case-12345678" \
    --permit '{
        "actions": {"actions": ["rds:ReadClusterData"]},
        "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]},
        "conditions": [
            {"allowBefore": "2026-06-15T00:00:00Z"}
        ]
    }'
```

要拒绝请求，请运行以下命令。这会 AWS 支持 通知你不想接受该请求。拒绝请求并不会阻止您以后为相同的操作和资源创建支持许可。

```
aws supportauthz reject-support-permit-request \
    --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"
```

------

查看每份请求并决定是批准还是拒绝该请求：
+ **批准**：创建涵盖所请求范围的支持许可证。包括`supportCaseDisplayId`参数以在案例结案时自动停用支持许可。
+ **拒绝**：`RejectSupportPermitRequest`致电 AWS 支持 通知您不想接受请求。拒绝请求并不会阻止您以后为相同的操作和资源创建支持许可。

## 后续步骤
<a name="support-authorization-getting-started-next-steps"></a>

完成本教程后，请参阅以下主题：
+ 要了解有关确定支持许可范围的更多信息，请参阅[管理支持许可](support-authorization-permits.md)。
+ 要监控对您的资源的支持操作，请参阅[监控 AWS 支持 授权 AWS CloudTrail](support-authorization-monitoring.md)。