启用跨账户 PCA 共享 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

启用跨账户 PCA 共享

重要

WorkSpaces Pools 功能不在北京和宁夏区域提供。

私有 CA(PCA)跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 Amazon Resource Access Manager(RAM)来管理权限,从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与相同 Amazon Web Services 区域内的 AppStream 2.0 基于证书的身份验证(CBA)一起使用。

要将共享的私有 CA 资源与 WorkSpaces Pools CBA 一起使用,请完成以下步骤:

  1. 在集中式 Amazon Web Services 账户中为 CBA 配置私有 CA。有关更多信息,请参阅 基于证书的身份验证和 WorkSpaces 个人版

  2. 与使用 CBA 的 WorkSpaces Pools 资源所在的资源 Amazon Web Services 账户共享私有 CA。为此,请按照如何使用 Amazon RAM 来共享 ACM 私有 CA 跨账户中的步骤操作。您无需完成步骤 3 来创建证书。您可以与个人 Amazon Web Services 账户共享私有 CA,也可以通过 Amazon Organizations共享。如果您与个人账户共享,则需要使用 Amazon Resource Access Manager 控制台或 API 接受资源账户中的共享私有 CA。

    在配置共享时,请确认资源账户中私有 CA 的 Amazon Resource Access Manager 资源共享使用的是 AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority 托管权限模板。此模板与 WorkSpaces Pools 服务角色在颁发 CBA 证书时所使用的 PCA 模板一致。

  3. 共享成功后,使用资源账户中的私有 CA 控制台查看共享的私有 CA。

  4. 使用 API 或 CLI 将私有 CA ARN 与您 WorkSpaces Pools 目录中的 CBA 相关联。目前,WorkSpaces Pools 控制台不支持选择共享的私有 CA ARN。有关更多信息,请参阅 Amazon WorkSpaces 服务 API 参考