本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用跨账户 PCA 共享
<a name="pca-sharing"></a>

**重要**  
“ WorkSpaces 池” 功能不适用于北京和宁夏区域。

私有 CA（PCA）跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 [Amazon Resource Access Manager](https://www.amazonaws.cn/ram/)（RAM）来管理权限，从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与基于 WorkSpaces 应用程序证书的身份验证 (CBA) 一起使用。Amazon Web Services 区域

要将共享的私有 CA 资源与 WorkSpaces 池 CBA 一起使用，请完成以下步骤：

1. 以集中Amazon Web Services 账户方式为 CBA 配置私有 CA。有关更多信息，请参阅 [基于证书的身份验证和个人 WorkSpaces](certificate-based-authentication.md)。

1. 与资源 WorkSpaces 池资源使用 CBA Amazon Web Services 账户 的资源共享私有 CA。为此，请按照[如何使用 Amazon RAM 跨账户共享您的 ACM 私有 CA 中的步骤进行](https://www.amazonaws.cn/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)操作。您无需完成步骤 3 来创建证书。您可以与个人 Amazon Web Services 账户共享私有 CA，也可以通过 Amazon Organizations共享。如果您与个人账户共享，则需要使用Amazon Resource Access Manager控制台或接受资源账户中的共享私有 CA APIs。

   配置共享时，请确认Amazon Resource Access Manager资源账户中私有 CA 的资源共享使用`AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`托管权限模板。此模板与 P WorkSpaces ools 服务角色在颁发 CBA 证书时使用的 PCA 模板一致。

1. 共享成功后，使用资源账户中的私有 CA 控制台查看共享的私有 CA。

1. 使用 API 或 CLI 将私有 CA ARN 与 Pools 目录中的 WorkSpaces CBA 相关联。目前，P WorkSpaces ools 控制台不支持选择共享私有 CA ARNs。有关更多信息，请参阅《[亚马逊 WorkSpaces服务 API 参考](https://docs.amazonaws.cn/workspaces/latest/api/welcome.html)》。