クロスアカウント PCA 共有を有効にする - Amazon AppStream 2.0

クロスアカウント PCA 共有を有効にする

プライベート CA (PCA) のクロスアカウント共有を使用すると、他のアカウントに一元的な CA を使用するアクセス許可を付与できます。CA は、AWS Resource Access Manager (RAM) を使用して証明書を生成および発行し、アクセス許可を管理できます。これにより、アカウントごとのプライベート CA は不要になります。プライベート CA のクロスアカウント共有は、同じ AWS リージョン内で生じる AppStream 2.0 の証明書ベースの認証 (CBA) で使用できます。

AppStream 2.0 の CBA でプライベート CA の共有リソースを使用するには、次の手順を実行します。

  1. 一元的 AWS アカウントで CBA のプライベート CA を設定します。詳細については、「証明書ベースの認証」を参照してください。

  2. プライベート CA を、AppStream 2.0 リソースで CBA を使用するリソース AWS アカウントと共有します。これを行うには、「How to use AWS RAM to share your ACM Private CA cross-account」の手順に従います。証明書を作成するために、ステップ 3 を完了する必要はありません。プライベート CA を個々の AWS アカウントと共有することも、AWS Organizations を通じて共有することもできます。個々のアカウントと共有する場合は、AWS Resource Access Manager コンソールまたは API を使用して、リソースアカウントの共有プライベート CA を受け入れる必要があります。

    共有を設定するときは、リソースアカウントのプライベート CA の AWS Resource Access Manager リソース共有で AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority のマネージド型アクセス許可テンプレートが使用されていることを確認します。このテンプレートは、CBA 証明書の発行時に AppStream 2.0 サービスロールが使用する PCA テンプレートと一致します。

  3. 共有が成功したら、リソースアカウントのプライベート CA コンソールを使用して、共有プライベート CA を表示します。

  4. API または CLI を使用して、AppStream 2.0 Directory Config の CBA にプライベート CA ARN を関連付けます。現時点では、AppStream 2.0 コンソールは共有プライベート CA ARN の選択をサポートしていません。CLI コマンドの例を次に示します。

    aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>