本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过 Okta 和 IAM Identity Center 配置 SAML 和 SCIM
<a name="gs-okta"></a>

您可以使用[跨域身份管理系统（SCIM）2.0 协议](scim-profile-saml.md#scim-profile)将用户和组信息从 Okta 自动预置或同步到 IAM Identity Center。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

要在 Okta 中配置此连接，您可以使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 自动创建的持有者令牌。配置 SCIM 同步时，您将在 Okta 中创建用户属性到 IAM Identity Center 中的命名属性的映射。此映射在 IAM Identity Center 和 Okta 账户之间匹配预期的用户属性。

Okta 通过 SCIM 连接到 IAM Identity Center 时支持以下预置功能：
+ 创建用户——在 Okta 中分配给 IAM Identity Center 应用程序的用户是在 IAM Identity Center 中预置的。
+ 更新用户属性——在 Okta 中分配给 IAM Identity Center 应用程序的用户的属性更改将在 IAM Identity Center 中更新。
+ 停用用户——在 Okta 中从 IAM Identity Center 应用程序取消分配的用户将在 IAM Identity Center 被禁用。
+ 组推送——Okta 中的组（及其成员）同步到 IAM Identity Center。
**注意**  
为了最大限度地减少 Okta 和 IAM Identity Center 的管理开销，我们建议您分配和*推送*组而不是单个用户。
+ 导入用户 — 用户可以从 IAM 身份中心导入Okta。

**目标**

在本教程中，您将逐步设置与 Okta IAM Identity Center 的 SAML 连接。稍后，您将使用 SCIM 从 Okta 同步用户。在该方案中，您可以管理 Okta 中的所有用户和组。用户通过 Okta 门户登录。要验证所有配置是否正确，完成配置步骤后，您将以Okta用户身份登录并验证对 AWS 资源的访问权限。

通过 SAML 连接Okta到 IAM 身份中心时，支持以下功能：
+ IDP 发起的 SAML 登录 — 用户通过Okta门户登录并获得 IAM 身份中心的访问权限。
+ SP 发起的 SAML 登录 — 用户访问 AWS 访问门户，该门户会将他们重定向到通过门户登录。Okta

**注意**  
您可以注册安装了 Okta's [IAM Identity Center 应用程序](https://www.okta.com/integrations/aws-single-sign-on/)的 Okta 账户（[免费试用](https://www.okta.com/free-trial/)）。对于付费 Okta 产品，您可能需要确认您的 Okta 许可证支持*生命周期管理*或类似的功能，以实现出站预置。将 SCIM 从 Okta 配置到 IAM Identity Center 可能需要这些功能。  
如果您尚未启用 IAM Identity Center，请参阅 [启用 IAM Identity Center](enable-identity-center.md)。

## 注意事项
<a name="gs-okta-considerations"></a>
+ 在 Okta 和 IAM Identity Center 之间配置 SCIM 预置之前，建议先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。
+ 必须已为每位 Okta 用户指定**名字**、**姓氏**、**用户名**和**显示名称**值。
+ 每位 Okta 用户的每个数据属性（如电子邮件地址或电话号码）只有一个值。若用户有多个值，则无法同步。如果用户的属性中有多个值，请先删除重复的属性，然后再尝试在 IAM Identity Center 中预置用户。例如，只能同步一个电话号码属性，因为默认的电话号码属性是“工作电话”，所以即使用户的电话号码是家庭电话号码或移动电话号码，也将使用“工作电话”属性存储其电话号码。
+  Okta 与 IAM Identity Center 共用时，IAM Identity Center 通常在 Okta 中配置为应用程序。这样即可将 IAM Identity Center 的多个实例配置为多个应用程序，以此支持在单个 Okta 实例中访问多个 AWS 组织。
+ 不支持权限和角色属性，也无法将其同步到 IAM Identity Center。
+ 目前不支持使用相同的 Okta 组进行分配和组推送。要在 Okta 和 IAM Identity Center 之间保持一致的组成员资格，请创建一个单独的组并将其配置为将组推送到 IAM Identity Center。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置，以允许访问 AWS 托管应用程序和 AWS 账户 通过其他区域。有关包括先决条件在内的更多详细信息，请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。OKTA 特定的步骤请参见 [Okta用于访问其他区域的配置](#gs-okta-multi-region) 

## 步骤 1：Okta：从 Okta 账户获取 SAML 元数据
<a name="gs-okta-step1"></a>

1. 登录 Okta admin dashboard，展开**应用程序**，然后选择**应用程序**。

1. 在**应用程序**页面，选择**浏览应用程序目录**。

1. 在搜索框中键入 ** AWS IAM Identity Center**，选择要添加 IAM Identity Center 应用程序的应用程序。

1. 选择**登录**选项卡。

1. 在 **SAML 签名证书**下，选择**操作**，然后选择**查看 IdP 元数据**。将打开一个新的浏览器选项卡，显示 XML 文件的文档树。选择从 `<md:EntityDescriptor>` 到 `</md:EntityDescriptor>` 的所有 XML，将其复制到文本文件。

1. 将文本文件保存为 `metadata.xml`。

让 Okta admin dashboard 保持打开状态，因为后续步骤会继续使用此控制台。

## 步骤 2：IAM Identity Center：将 Okta 配置为 IAM Identity Center 的身份源
<a name="gs-okta-step2"></a>

1. 以具有管理权限的用户身份打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中，选择**设置**。

1. 在**设置**页面，选择**操作**，然后选择**更改身份源**。

1. 在**选择身份源**下选择**外部身份提供者**，然后选择**下一步**。

1. 在**配置外部身份提供商**下，执行以下操作：

   1. 在**服务提供商元数据**下，将以下项目复制到文本文件以便于访问：
      + **IAM Identity Center 断言消费者服务 (ACS) 网址** — 您可以选择 IPv4仅限和双栈 ACS。 URLs此外，如果您的 IAM Identity Center 实例已在多个区域启用，则每个其他区域都有自己的 IPv4仅限双栈 ACS。 URLs有关 ACS 的更多信息 URLs，请参阅[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。
      + **IAM Identity Center 发布者 URL**

      本教程稍后会用到这些值。

   1. 在**身份提供者元数据**下的 **IdP SAML 元数据**下，选择**选择文件**，然后选择您在上一步创建的 `metadata.xml` 文件。

   1. 选择**下一步**。

1. 阅读免责声明并准备继续操作后，输入**接受**。

1. 选择**更改身份源**。

   保持 AWS 控制台处于打开状态，您将在下一步中继续使用此控制台。

1. 返回Okta admin dashboard并选择 AWS IAM Identity Center 应用程序的 “**登录**” 选项卡，然后选择 “**编辑**”。

1. 在**高级登录设置**下，输入以下内容：
   + 对于 **ACS URL**，输入您为 **IAM 身份中心断言消费者服务 (ACS) 网址**复制的值。您可以使用主要区域的 ACS URL 作为默认区域，这样当用户从中启动 Amazon Web Services 应用程序时，他们就会被重定向到主要区域Okta。
   + （可选）如果您将 IAM Identity Center 复制到其他区域，则还可以在中Okta为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Okta。请务必向您的用户授予访问中的书签应用程序的权限Okta。有关更多详细信息，请参阅[Okta文档](https://support.okta.com/help/s/article/create-a-bookmark-app)。如果您计划稍后将 IAM Identity Center 复制到其他区域，请访问以获取[Okta用于访问其他区域的配置](#gs-okta-multi-region)有关如何在初始设置后启用对其他区域的访问权限的指导。
   + 在**发布者 URL** 中，输入您复制的 **IAM Identity Center 发布者 URL** 值
   +  在**应用程序用户名格式**中，选择菜单中的一个选项。

     确保您选择的值对每个用户来说都是唯一的。在本教程中，选择 **Okta 用户名**

1. 选择**保存**。

现在，您可以将用户从 Okta 预置到 IAM Identity Center。让 Okta admin dashboard 保持打开状态，返回 IAM Identity Center 控制台，执行下一步。

## 步骤 3：IAM Identity Center 和 Okta：预置 Okta 用户
<a name="gs-okta-step3"></a>

1. 在 IAM Identity Center 控制台的**设置**页面，找到**自动预置**信息框，然后选择**启用**。这会在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制以下选项的各个值：

   1. **SCIM 端**点-端点格式取决于您的配置：
      + IPv4: https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
      + 双栈：https://scim。 *us-east-2*.api.aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 Okta 中配置自动预置。

1. 选择**关闭**。

1. 返回 Okta admin dashboard，移到 IAM Identity Center 应用程序。

1. 在 **IAM Identity Center 应用程序**页面，选择**预置**选项卡，然后在左侧导航栏的**设置**下选择**集成**。

1. 选择**编辑**，然后选中**启用 API 集成**旁边的复选框，以启用自动预置。

1. Okta使用您在本步骤前面复制的 AWS IAM Identity Center SCIM 配置值进行配置：

   1. 在**基本 URL** 字段，输入 **SCIM 端点**值。

   1. 在 **API 令牌**字段，输入**访问令牌**值。

1. 选择**测试 API 凭证**以验证输入的凭证是否有效。

   将显示 **AWS IAM Identity Center 验证成功！**消息。

1. 选择**保存**。您将移至**设置**部分，**集成**为选中状态。

1. 在**设置**下，选择**至应用程序**，然后为每个要启用的**预置至应用程序**功能选择**启用**复选框。在本教程中，请选择所有选项。

1. 选择**保存**。

现在，您可以将来自 Okta 的用户与 IAM Identity Center 同步了。

## 步骤 4：Okta：将来自 Okta 的用户与 IAM Identity Center 同步
<a name="gs-ok-step4"></a>

默认情况下，未将任何组或用户分配给您的 Okta IAM Identity Center 应用程序。通过预置组，该组的成员用户也会被预置。完成以下步骤，将组和用户与同步 AWS IAM Identity Center。

1. 在 **Okta IAM Identity Center 应用程序**页面中，选择**分配**选项卡。您可以将人员和组分配至 IAM Identity Center 应用程序。

   1. 要分配人员：
      + 在**分配**页面，选择**分配**，然后选择**分配给人员**。
      + 选择您想要为其分配 IAM Identity Center 应用程序访问权限的 Okta 用户。选择**分配**，选择**保存并返回**，然后选择**完成**。

      这将启动将用户预置到 IAM Identity Center 的过程。

   1. 要分配组：
      + 在**分配**页面，选择**分配**，然后选择**分配给组**。
      + 选择您想要为其分配 IAM Identity Center 应用程序访问权限的 Okta 组。选择**分配**，选择**保存并返回**，然后选择**完成**。

      这将启动将组中的用户预置到 IAM Identity Center 的过程。
**注意**  
如果所有用户记录中都没有该组的属性，您可能需要为该组指定其他属性。为组指定的属性将覆盖任何单独属性的值。

1. 选择**推送组**选项卡。选择要与 IAM Identity Center 同步的 Okta 组。选择**保存**。

   将组及其成员推送到 IAM Identity Center 后，组状态将更改为**活动**。

1. 返回**分配**选项卡。

1. 要向 IAM Identity Center 添加个人 Okta 用户，请执行以下步骤：

   1. 在**分配**页面，选择**分配**，然后选择**分配给人员**。

   1. 选择您想要为其分配 IAM Identity Center 应用程序访问权限的 Okta 用户。选择**分配**，选择**保存并返回**，然后选择**完成**。

      这将启动将单个用户预置到 IAM Identity Center 的过程。
**注意**  
**您也可以从的应用程序页面为 AWS IAM Identity Center 应用程序分配用户和群组Okta admin dashboard。**要这样做，请选择**设置**图标，然后选择**分配给用户**或**分配给组**，然后指定用户或组。

1. 返回 IAM Identity Center 控制台。在左侧导航栏中，选择**用户**，您应该会看到用户列表填入了您的 Okta 用户。

**恭喜您！**  
您已成功在Okta和之间建立了 SAML 连接， AWS 并已验证自动配置正在运行。您现在可以在 **IAM Identity Center** 中将这些用户分配给账户和应用程序。在本教程的下一步，我们将指定一名用户，通过赋予其对管理账户的管理权限，使其成为 IAM Identity Center 管理员。

## 传递访问控制属性 – *可选*
<a name="okta-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 将访问权限分配给 AWS 账户
<a name="gs-okta-acct-access"></a>

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

**注意**  
要完成此步骤，您需要拥有 IAM Identity Center 的 Organization 实例。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。

### 步骤 1：IAM Identity Center：向 Okta 用户授予账户访问权限
<a name="gs-okta-step5"></a>

1. 在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织根目录，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和组**，选择将要执行管理员工作职能的用户。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**打开新的标签页，该标签页将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。

      1. 对于**步骤 3：查看并创建**，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 对于**步骤 3：查看并提交**，请查看选定的用户和权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置并应用了更新的权限集。当用户登录时，他们可以选择角色。*AdministratorAccess*

### 步骤 2Okta：确认Okta用户对 AWS 资源的访问权限
<a name="w2aac15c23c33b9"></a>

1. 使用测试用户账户登录 Okta dashboard。

1. 在**我的应用程序**下，选择 AWS IAM Identity Center 图标。

1. 你应该会看到图 AWS 账户 标。展开该图标可查看用户可以访问的 AWS 账户 列表。在本教程中，您只使用了一个账户，因此展开图标只显示一个账户。

1. 选择账户，以显示用户可用的权限集。在本教程中，您创建了**AdministratorAccess**权限集。

1. 权限集旁边是该权限集可用访问权限类型的链接。创建权限集时，您指定了访问权限 AWS 管理控制台 和编程访问权限。选择**管理控制台**，打开 AWS 管理控制台。

1. 用户已登录到 AWS 管理控制台。

您也可以使用 AWS 访问门户。这会将您重定向到通过Okta门户登录，然后再将您带到 AWS 访问门户。此路径遵循由 SP 发起的 SAML 登录流程。

## Okta访问 IAM 身份中心其他区域的配置-可选
<a name="gs-okta-multi-region"></a>

如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置，以允许访问 AWS 托管应用程序和 AWS 账户 通过其他区域。以下步骤将指导您完成整个过程。有关本主题的更多详细信息（包括先决条件），请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。

1. 从 IAM 身份中心控制台检索其他区域的 ACS URLs ，如中所述[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。

1. 在Okta管理控制面板的导航窗格中，选择**应用程序**，然后在展开的列表中再次选择**应用程序**。

1. 选择 **AWS IAM Identity Center** 应用程序。

1. 选择 **Sign On**（登录）选项卡。

1. 在 “**高级登录设置”** 和 “**其他可请求的 SSO**” 下 URLs，为每个其他区域的 ACS URL 选择**添加另一**个，然后将 ACS URL 粘贴到文本字段中。

1. 添加 ACS 后 URLs，保存**AWS IAM Identity Center**应用程序。

1. 您可以在中Okta为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Okta。请务必向您的用户授予访问中的书签应用程序的权限Okta。有关更多详细信息，请参阅[Okta文档](https://support.okta.com/help/s/article/create-a-bookmark-app)。

1. 确认您可以登录其他每个地区的 AWS 访问门户。导航到[AWS 访问门户 URLs](multi-region-workforce-access.md#portal-endpoints)或从中启动书签应用程序Okta。

## 后续步骤
<a name="gs-okta-next-steps"></a>

现在，您已在 IAM Identity Center 将 Okta 配置为身份提供商，并预置了用户，您可以：
+ 授予访问权限 AWS 账户，请参阅[为用户或群组分配访问权限 AWS 账户](assignusers.md)。
+ 授予对云应用程序的访问权限，请参阅 [在 IAM Identity Center 控制台中为用户分配应用程序的访问权限](assignuserstoapp.md)。
+ 根据工作职能配置权限，请参阅[创建权限集](howtocreatepermissionset.md)。

## 问题排查
<a name="gs-okta-troubleshooting"></a>

有关使用 Okta 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [重新配置从 IAM Identity Center 删除的用户和组](#reprovisioning-deleted-users-groups)
+ [Okta 中的自动预置错误](#okta-auto-provisioning-error)
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ [其他资源](#gs-okta-troubleshooting-resources)

### 重新配置从 IAM Identity Center 删除的用户和组
<a name="reprovisioning-deleted-users-groups"></a>
+ 如果尝试更改 Okta 中已同步后又从 IAM Identity Center 中删除的用户或组，则可能会在 Okta 控制台中收到以下错误消息：
  + 自动将用户个人资料推送*Jane Doe*到应用程序 AWS IAM Identity Center 失败：尝试推送个人资料更新时出错*jane\$1doe@example.com*：用户未返回任何用户 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + 中缺少关联的群组 AWS IAM Identity Center。Change the linked group to resume pushing group memberships.
+ 对于已同步和删除的 IAM Identity Center 用户或组，还可能在 Okta 的系统日志中收到以下错误消息：
  + Okta 错误：事件失败 application.provision.user.puser.push\$1profile：用户未返回任何 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + Okta 错误：application.provision.group\$1push\$1push.mapping.update.or.delete.failed.with.error：中缺少链接组。 AWS IAM Identity Center Change the linked group to resume pushing group memberships.

**警告**  
如已使用 SCIM 同步 Okta 和 IAM Identity Center，则应从 Okta 而非 IAM Identity Center 中删除用户和组。

**排查已删除的 IAM Identity Center 用户问题**  
要解决已删除的 IAM Identity Center 用户的这一问题，必须从 Okta 中删除这些用户。如有必要，还需在 Okta 中重新创建这些用户。在 Okta 中重新创建用户时，还会通过 SCIM 将其重新预置到 IAM Identity Center。有关删除用户的更多信息，请参阅 [Okta 文档](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)。

**注意**  
如需移除 Okta 用户对 IAM Identity Center 的访问权限，则应先将其从“组推送”中移除，再将其从 Okta 的分配组中移除。这可确保在 IAM Identity Center 中将用户从关联组成员资格中移除。有关“组推送”问题排查的更多信息，请参阅 [Okta 文档](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

**排查已删除的 IAM Identity Center 组问题**  
要解决已删除的 IAM Identity Center 组的这一问题，必须从 Okta 中删除组。如有必要，还需要使用“组推送”在 Okta 中重新创建这些组。在 Okta 中重新创建用户时，还会通过 SCIM 将其重新预置到 IAM Identity Center。有关删除组的更多信息，请参阅 [Okta 文档](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

### Okta 中的自动预置错误
<a name="okta-auto-provisioning-error"></a>

如果在 Okta 中收到以下错误消息：

将用户 Jane Doe 自动配置到应用程序 AWS IAM Identity Center 失败：未找到匹配的用户

有关更多信息，请参阅 [Okta 文档](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)。

### 其他资源
<a name="gs-okta-troubleshooting-resources"></a>
+ 有关 SCIM 一般性问题排查的提示，请参阅[排查 IAM Identity Center 问题](troubleshooting.md)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持