本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 第 2 步：创建实例
<a name="creating-instance"></a>

在中创建实例可 AWS Supply Chain 建立用于供应链管理和分析的专用环境。要设置实例，您需要配置基本详细信息、建立设置并定义初始用户访问权限。

**注意**  
只有 AWS 管理控制台 管理员才能创建实例。创建 AWS Supply Chain 实例的 AWS 管理控制台 管理员应拥有下面列出的所有权限[使用 AWS Supply Chain使用 AWS Supply Chain 控制台](using-console.md)。该管理员应邀请 IAM 用户作为 AWS Supply Chain 管理员进行管理 AWS Supply Chain。

您可以使用两种方法之一创建实例：标准配置或高级配置。标准配置使用自动流程，使用预设参数快速创建实例。高级配置允许您通过设置自己的参数来自定义您的实例。

**Topics**
+ [使用标准配置](create-instance-standard.md)
+ [使用高级配置](create-instance-advanced.md)

# 使用标准配置
<a name="create-instance-standard"></a>

标准配置使用默认的安全和加密设置创建您的 AWS Supply Chain 实例。实例在 AWS 地理区域运行。有关区域的更多信息，请参阅 *IAM 用户指南*中的[区域和终端](https://docs.aws.amazon.com/general/latest/gr/rande.html)节点以及中的[区域终端节点*AWS 一般参考*](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints)。

要使用预设参数的标准配置创建 AWS Supply Chain 实例，请按照以下步骤操作。

1. 选择**创建**。  
![\[Interface for creating AWS Supply Chain application with options to create or edit setup.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/create-instance.png)

   将出现确认信息。  
![\[Confirmation dialog for AWS Supply Chain setup with email verification instructions.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/pop-up.png)

1. 请查看您的电子邮件以了解以下内容：
   + 来自 iDc 团队的电子邮件。
   + 来自身份管理团队的电子邮件。  
![\[Welcome message for new AWS Supply Chain user with login information and application URL.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/confirmation-email.png)

1. 收到邀请电子邮件后，请登录 AWS Supply Chain。请参阅[登录 AWS Supply Chain Web 应用程序](viewing-homepage.md)。

# 使用高级配置
<a name="create-instance-advanced"></a>

高级配置允许您通过设置自己的参数来自定义您的实例。要使用预设参数的高级配置创建 AWS Supply Chain 实例，请按照以下步骤操作。

1. **在高级设置中选择 “编辑”**。  
![\[Interface for creating AWS Supply Chain application with options to create or edit in advanced setup.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/create-instance.png)

   将会出现 “**实例属性**” 页面。  
![\[Instance properties form with fields for AWS region, instance name, description, and KMS key.\]](http://docs.aws.amazon.com/zh_cn/aws-supply-chain/latest/adminguide/images/instance-properties.png)

1. 在**实例属性**页面上输入以下内容：
   + **名称**-输入实例名称。
   + **描述**-输入您的 AWS Supply Chain 实例的描述（例如，生产实例、测试实例等）。
   + **AWS KMS 密钥（可选）**— 您可以选择使用默认 AWS KMS 密钥（推荐）或提供自己的 AWS KMS 密钥。请参阅[使用自定义 AWS KMS 密钥](#using-custom-keys)了解更多信息。
   + **实例标签**-您可以向您的实例添加可用于识别的标签。例如，您可以添加标签来定义要创建的实例的类型（例如，生产、测试、UAT 等）。
**注意**  
如果您计划使用 S/4 Hana 数据连接，请确保您提供的 AWS KMS 密钥的`aws-supply-chain-access`标签的`true`关联**值为**。

1. 选择**创建实例**。

1. （可选）创建 AWS Supply Chain 实例后，如果您选择在 AWS KMS 密钥下使用自己的密**AWS KMS 钥**，请更新您的 KMS 策略 AWS Supply Chain 以允许访问您的 AWS KMS 密钥。
**注意**  
将*YourAccountNumber*和*YourInstanceID*替换为您的 AWS 账户 和 AWS Supply Chain 实例 ID。

   ```
    {
   
       "Sid": "Allow AWS Supply Chain to access the AWS KMS Key",
       "Effect": "Allow",
       "Principal":  {
           "AWS": "arn:aws:iam::YourAccountNumber:role/service-role/scn-instance-role-YourInstanceID"
       },
       "Action":  [
           "kms:Encrypt",
           "kms:Decrypt",
           "kms:GenerateDataKey"
       ],
       "Resource": "*"
   }
   ```

## 使用自定义 AWS KMS 密钥
<a name="using-custom-keys"></a>

创建实例时，您可以使用自己的 AWS KMS 密钥。如果您想管理自己的密钥，但又不想使用现有密钥，则可以创建一个新密钥。

**注意**  
对于 AWS Supply Chain 实例，建议使用 AWS 自有密钥是默认设置。

**使用现有 AWS KMS 密钥**

1. 选择 “**自定义加密设置”**。

1. 前往 **“选择密 AWS KMS 钥**”。

1. 在提供的字段中输入您的密钥。

1. 选择**更新**。

**创建密 AWS KMS 钥**

1. 选择**创建**。

1. 按照[创建 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)中的步骤操作。

1. 使用以下权限更新新密钥。
   + 定义密钥管理权限：保持未选中状态
   + 定义密钥使用权限：保持未选中状态
   + 更新密钥策略：编辑密钥策略并替换为：

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "Enable IAM User Permissions",
                 "Effect": "Allow",
                 "Principal": {
                     "AWS": "arn:aws:iam::111122223333:root"
                 },
                 "Action": "kms:*",
                 "Resource": "*"
             },
             {
                 "Sid": "Allow access through SecretManager for all principals in the account that are authorized to use SecretManager",
                 "Effect": "Allow",
                 "Principal": {
                     "AWS": "*"
                 },
                 "Action": [
                     "kms:Encrypt",
                     "kms:Decrypt",
                     "kms:ReEncrypt*",
                     "kms:GenerateDataKey*",
                     "kms:CreateGrant",
                     "kms:DescribeKey",
                     "kms:GenerateDataKeyWithoutPlaintext",
                     "kms:ReEncryptFrom",
                     "kms:ReEncryptTo"
                 ],
                 "Resource": "*",
                 "Condition": {
                     "StringEquals": {
                         "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com",
                         "kms:CallerAccount": "YourAccountNumber"
                     }
                 }
             },
             {
                 "Sid": "Allow AWS Supply Chain to access the AWS KMS Key",
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "scn.Region.amazonaws.com"
                 },
                 "Action": [
                     "kms:Encrypt",
                     "kms:GenerateDataKeyWithoutPlaintext",
                     "kms:ReEncryptFrom",
                     "kms:ReEncryptTo",
                     "kms:Decrypt",
                     "kms:GenerateDataKey",
                     "kms:DescribeKey",
                     "kms:CreateGrant",
                     "kms:RetireGrant"
                 ],
                 "Resource": "*"
             }
         ]
     }
     ```

------