View a markdown version of this page

Memulai dengan AWS Dukungan otorisasi - AWS Dukungan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan AWS Dukungan otorisasi

Tutorial ini memandu Anda melalui pengaturan AWS Dukungan otorisasi dan membuat izin dukungan pertama Anda. Anda menyelesaikan langkah-langkah berikut:

Tutorial ini membutuhkan waktu sekitar 10 menit untuk menyelesaikannya.

  1. Buat kunci AWS KMS penandatanganan

  2. Siapkan izin IAM

  3. Buat izin dukungan pertama Anda

  4. Tinjau permintaan izin dukungan dari AWS Dukungan

Prasyarat

Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:

  • AWS Akun aktif

  • Izin untuk membuat AWS KMS kunci di akun Anda

  • Izin untuk membuat kebijakan IAM dan melampirkannya ke pengguna atau peran

Langkah 1: Buat AWS KMS kunci penandatanganan

AWS Dukungan otorisasi memerlukan AWS KMS kunci dengan spesifikasi kunci ECC_NIST_P384 dan penggunaan kunci. SIGN_VERIFY Kuncinya harus berada di Wilayah yang sama dengan izin dukungan Anda.

catatan

Jika Anda sudah memiliki AWS KMS kunci dengan spesifikasi kunci ECC_NIST_P384 dan penggunaan kunci SIGN_VERIFY di Wilayah yang sama, Anda dapat melewati langkah ini dan menggunakan kunci itu.

Untuk membuat kunci, jalankan perintah AWS CLI berikut:

aws kms create-key \ --key-usage SIGN_VERIFY \ --key-spec ECC_NIST_P384 \ --description "SupportAuthZ signing key" \ --tags TagKey=supportauthz:managed,TagValue=true \ --region us-east-1

Perhatikan kunci ARN dari output. Anda menggunakan nilai ini ketika Anda membuat izin dukungan.

Sertakan pernyataan kebijakan AWS Dukungan otorisasi yang diperlukan dalam create-key panggilan. Untuk pernyataan yang diperlukan, lihatMelakukan konfigurasi AWS KMS kunci untuk AWS Dukungan otorisasi.

contoh Contoh Output
{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeySpec": "ECC_NIST_P384", "KeyUsage": "SIGN_VERIFY" } }

Langkah 2: Siapkan izin IAM

Lampirkan kebijakan IAM yang memberikan izin untuk operasi API AWS Dukungan otorisasi. Contoh kebijakan berikut memberikan akses ke semua tindakan AWS Dukungan otorisasi.

supportauthz:RegisterKeyTindakan ini memungkinkan Anda mengaitkan AWS KMS kunci dengan izin dukungan. Tindakan hanya izin ini harus ada dalam kebijakan IAM Anda agar AWS Dukungan otorisasi berfungsi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportauthz:CreateSupportPermit", "supportauthz:RegisterKey", "supportauthz:DeleteSupportPermit", "supportauthz:GetSupportPermit", "supportauthz:ListSupportPermits", "supportauthz:ListSupportPermitRequests", "supportauthz:RejectSupportPermitRequest", "supportauthz:GetAction", "supportauthz:ListActions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "DescribeKey", "GetPublicKey", "Sign" ] } } } ] }

Untuk melampirkan kebijakan ini ke pengguna atau peran IAM, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna.AWS Identity and Access Management

Langkah 3: Buat izin dukungan pertama Anda

Buat izin dukungan yang memberi wewenang AWS Dukungan untuk mengakses informasi tentang layanan Anda untuk sumber daya tertentu.

Console
  1. Masuk ke AWS Support Center Console.

  2. Di panel navigasi, pilih Otorisasi Dukungan.

  3. Di bagian Akses yang diberikan, pilih Preconfigure access.

  4. Untuk tipe Access, pilih salah satu dari berikut ini:

    • Semua sumber daya yang didukung di Wilayah ini — Menerapkan akses luas ke seluruh akun Anda di Wilayah yang dipilih.

    • Pilih sumber daya ARN — Membatasi akses ke sumber daya tertentu yang Anda identifikasi oleh ARN.

  5. (Opsional) Untuk Detail, masukkan Nama dan Deskripsi untuk izin dukungan.

  6. Untuk durasi Akses, pilih salah satu dari berikut ini:

    • Tidak ada kedaluwarsa — Akses tetap aktif sampai Anda mencabutnya.

    • Durasi kustom - Tetapkan jendela waktu tertentu di mana izin dukungan valid.

  7. Untuk Tindakan, pilih tindakan yang AWS Dukungan diizinkan untuk dilakukan:

    • Pilih kotak centang Semua tindakan untuk mengizinkan semua tindakan yang tersedia pada sumber daya yang tercakup. Ini menghilangkan batas 10-tindakan.

    • Untuk memilih tindakan tertentu, kosongkan kotak centang Semua tindakan. Pilih layanan dari daftar Layanan, lalu pilih hingga 10 tindakan individual dari tabel tindakan.

  8. Untuk kunci Penandatanganan, pilih AWS KMS kunci dari daftar dropdown. Untuk membuat kunci baru, pilih Buat kunci penandatanganan KMS.

  9. Pilih Kirim.

AWS CLI

Jalankan perintah berikut untuk membuat izin dukungan berbatas waktu untuk sumber daya tertentu:

aws supportauthz create-support-permit \ --name "MyFirstPermit" \ --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \ --permit '{ "actions": {"allActions": {}}, "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]}, "conditions": [ {"allowAfter": "2026-06-01T00:00:00Z"}, {"allowBefore": "2026-07-01T00:00:00Z"} ] }'

Izin dukungan ini mengizinkan AWS Dukungan untuk melakukan semua tindakan yang tersedia pada klaster Amazon Aurora yang ditentukan selama Juni 2026.

Langkah 4: Tinjau permintaan izin dukungan dari AWS Dukungan

Ketika AWS Dukungan membutuhkan akses ke informasi tentang layanan Anda dan tidak ada izin dukungan yang cocok, AWS Dukungan kirimkan permintaan izin dukungan. Anda dapat melihat permintaan yang tertunda dan menyetujui atau menolaknya.

Console
  1. Masuk ke AWS Support Center Console.

  2. Di panel navigasi, pilih Otorisasi Dukungan.

  3. Di bagian Permintaan akses tertunda, tinjau daftar permintaan. Setiap permintaan menunjukkan kasus dukungan terkait, layanan, ARN Permintaan Izin Dukungan, status, dan tanggal akses permintaan.

  4. (Opsional) Untuk memfilter permintaan, gunakan filter tarik-turun Status dan Layanan, atau cari berdasarkan sumber daya di bidang pencarian.

  5. Untuk menyetujui atau menolak permintaan, pilih Kelola akses dukungan.

AWS CLI

Untuk membuat daftar permintaan yang tertunda, jalankan perintah berikut:

aws supportauthz list-support-permit-requests
contoh Contoh Output
{ "supportPermitRequests": [ { "arn": "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/req-1234abcd", "status": "PENDING", "supportCaseDisplayId": "case-12345678", "requestedActions": ["rds:ReadClusterData"], "requestedResources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"], "createdAt": "2026-06-01T12:00:00Z" } ] }

Untuk menyetujui permintaan ini, buat izin dukungan yang mencakup cakupan yang diminta:

aws supportauthz create-support-permit \ --name "ApproveCase12345678" \ --signing-key-info '{"kmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"}' \ --support-case-display-id "case-12345678" \ --permit '{ "actions": {"actions": ["rds:ReadClusterData"]}, "resources": {"resources": ["arn:aws:rds:us-east-1:111122223333:cluster:my-aurora-cluster"]}, "conditions": [ {"allowBefore": "2026-06-15T00:00:00Z"} ] }'

Untuk menolak permintaan, jalankan perintah berikut. Ini memberi tahu AWS Dukungan bahwa Anda tidak ingin menerima permintaan tersebut. Menolak permintaan tidak mencegah Anda membuat izin dukungan untuk tindakan dan sumber daya yang sama nanti.

aws supportauthz reject-support-permit-request \ --request-arn "arn:aws:supportauthz:us-east-1:111122223333:supportpermitrequest/request-id"

Tinjau setiap permintaan dan putuskan apakah akan menyetujui atau menolaknya:

  • Untuk menyetujui: Buat izin dukungan yang mencakup cakupan yang diminta. Sertakan supportCaseDisplayId parameter untuk secara otomatis menonaktifkan izin dukungan saat kasus ditutup.

  • Untuk menolak: Panggil RejectSupportPermitRequest untuk memberi tahu AWS Dukungan bahwa Anda tidak ingin menerima permintaan. Menolak permintaan tidak mencegah Anda membuat izin dukungan untuk tindakan dan sumber daya yang sama nanti.

Langkah selanjutnya

Setelah Anda menyelesaikan tutorial ini, lihat topik-topik berikut: