Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai dengan AWS Dukungan otorisasi
Tutorial ini memandu Anda melalui pengaturan AWS Dukungan otorisasi dan membuat izin dukungan pertama Anda. Anda menyelesaikan langkah-langkah berikut:
Tutorial ini membutuhkan waktu sekitar 10 menit untuk menyelesaikannya.
Buat kunci AWS KMS penandatanganan
Siapkan izin IAM
Buat izin dukungan pertama Anda
Tinjau permintaan izin dukungan dari AWS Dukungan
Prasyarat
Sebelum Anda mulai, verifikasi bahwa Anda memiliki yang berikut:
AWS Akun aktif
Izin untuk membuat AWS KMS kunci di akun Anda
Izin untuk membuat kebijakan IAM dan melampirkannya ke pengguna atau peran
Langkah 1: Buat AWS KMS kunci penandatanganan
AWS Dukungan otorisasi memerlukan AWS KMS kunci dengan spesifikasi kunci ECC_NIST_P384 dan penggunaan kunci. SIGN_VERIFY Kuncinya harus berada di Wilayah yang sama dengan izin dukungan Anda.
catatan
Jika Anda sudah memiliki AWS KMS kunci dengan spesifikasi kunci ECC_NIST_P384 dan penggunaan kunci SIGN_VERIFY di Wilayah yang sama, Anda dapat melewati langkah ini dan menggunakan kunci itu.
Untuk membuat kunci, jalankan perintah AWS CLI berikut:
aws kms create-key \ --key-usage SIGN_VERIFY \ --key-spec ECC_NIST_P384 \ --description "SupportAuthZ signing key" \ --tags TagKey=supportauthz:managed,TagValue=true \ --region us-east-1
Perhatikan kunci ARN dari output. Anda menggunakan nilai ini ketika Anda membuat izin dukungan.
Sertakan pernyataan kebijakan AWS Dukungan otorisasi yang diperlukan dalam create-key panggilan. Untuk pernyataan yang diperlukan, lihatMelakukan konfigurasi AWS KMS kunci untuk AWS Dukungan otorisasi.
contoh Contoh Output
{ "KeyMetadata": { "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "Arn": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "KeySpec": "ECC_NIST_P384", "KeyUsage": "SIGN_VERIFY" } }
Langkah 2: Siapkan izin IAM
Lampirkan kebijakan IAM yang memberikan izin untuk operasi API AWS Dukungan otorisasi. Contoh kebijakan berikut memberikan akses ke semua tindakan AWS Dukungan otorisasi.
supportauthz:RegisterKeyTindakan ini memungkinkan Anda mengaitkan AWS KMS kunci dengan izin dukungan. Tindakan hanya izin ini harus ada dalam kebijakan IAM Anda agar AWS Dukungan otorisasi berfungsi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportauthz:CreateSupportPermit", "supportauthz:RegisterKey", "supportauthz:DeleteSupportPermit", "supportauthz:GetSupportPermit", "supportauthz:ListSupportPermits", "supportauthz:ListSupportPermitRequests", "supportauthz:RejectSupportPermitRequest", "supportauthz:GetAction", "supportauthz:ListActions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "Condition": { "StringEquals": { "kms:ViaService": "supportauthz.us-east-1.amazonaws.com", "kms:RetiringServicePrincipal": "us-east-1.supportauthz.amazonaws.com", "kms:GranteeServicePrincipal": "us-east-1.supportauthz.amazonaws.com" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "DescribeKey", "GetPublicKey", "Sign" ] } } } ] }
Untuk melampirkan kebijakan ini ke pengguna atau peran IAM, lihat Menambahkan dan menghapus izin identitas IAM di Panduan Pengguna.AWS Identity and Access Management
Langkah 3: Buat izin dukungan pertama Anda
Buat izin dukungan yang memberi wewenang AWS Dukungan untuk mengakses informasi tentang layanan Anda untuk sumber daya tertentu.
Langkah 4: Tinjau permintaan izin dukungan dari AWS Dukungan
Ketika AWS Dukungan membutuhkan akses ke informasi tentang layanan Anda dan tidak ada izin dukungan yang cocok, AWS Dukungan kirimkan permintaan izin dukungan. Anda dapat melihat permintaan yang tertunda dan menyetujui atau menolaknya.
Tinjau setiap permintaan dan putuskan apakah akan menyetujui atau menolaknya:
-
Untuk menyetujui: Buat izin dukungan yang mencakup cakupan yang diminta. Sertakan
supportCaseDisplayIdparameter untuk secara otomatis menonaktifkan izin dukungan saat kasus ditutup. -
Untuk menolak: Panggil
RejectSupportPermitRequestuntuk memberi tahu AWS Dukungan bahwa Anda tidak ingin menerima permintaan. Menolak permintaan tidak mencegah Anda membuat izin dukungan untuk tindakan dan sumber daya yang sama nanti.
Langkah selanjutnya
Setelah Anda menyelesaikan tutorial ini, lihat topik-topik berikut:
Untuk mempelajari lebih lanjut tentang izin dukungan pelingkupan, lihat. Mengelola izin dukungan
Untuk memantau tindakan dukungan pada sumber daya Anda, lihatMemantau AWS Dukungan otorisasi dengan AWS CloudTrail.