启用跨账户 PCA 共享 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用跨账户 PCA 共享

重要

“ WorkSpaces 池” 功能不适用于北京和宁夏区域。

私有 CA(PCA)跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 Amazon Resource Access Manager(RAM)来管理权限,从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与 AppStream 2.0 基于证书的身份验证 (CBA) 一起使用。 Amazon Web Services 区域

要将共享的私有 CA 资源与 WorkSpaces 池 CBA 一起使用,请完成以下步骤:

  1. 在集中 Amazon Web Services 账户模式中为 CBA 配置私有 CA。有关更多信息,请参阅 基于证书的身份验证和个人 WorkSpaces

  2. 与资源 WorkSpaces 池资源使用 CBA Amazon Web Services 账户 的资源共享私有 CA。为此,请按照如何使用 Amazon RAM 跨账户共享您的 ACM 私有 CA 中的步骤进行操作。您无需完成步骤 3 来创建证书。您可以与个人 Amazon Web Services 账户共享私有 CA,也可以通过 Amazon Organizations共享。如果您与个人账户共享,则需要使用 Amazon Resource Access Manager 控制台或接受资源账户中的共享私有 CA APIs。

    配置共享时,请确认 Amazon Resource Access Manager 资源账户中私有 CA 的资源共享使用AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority托管权限模板。此模板与 P WorkSpaces ools 服务角色在颁发 CBA 证书时使用的 PCA 模板一致。

  3. 共享成功后,使用资源账户中的私有 CA 控制台查看共享的私有 CA。

  4. 使用 API 或 CLI 将私有 CA ARN 与 Pools 目录中的 WorkSpaces CBA 相关联。目前,P WorkSpaces ools 控制台不支持选择共享私有 CA ARNs。有关更多信息,请参阅《亚马逊 WorkSpaces服务 API 参考》。