启用跨账户 PCA 共享 - Amazon WorkSpaces 应用程序

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用跨账户 PCA 共享

私有 CA(PCA)跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 AWS Resource Access Manager(RAM)来管理权限,从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与基于 WorkSpaces 应用程序证书的身份验证 (CBA) 一起使用。AWS 区域

要将共享的私有 CA 资源与 WorkSpaces 应用程序 CBA 一起使用,请完成以下步骤:

  1. 在集中AWS 账户模式中为 CBA 配置私有 CA。有关更多信息,请参阅 基于证书的身份验证

  2. 与 WorkSpaces 应用程序资源使用 CBA AWS 账户 的资源共享私有 CA。为此,请遵循 How to use AWS RAM to share your ACM Private CA cross-account 中的步骤。您无需完成步骤 3 来创建证书。您可以与个人共享私有 CAAWS 账户,也可以通过共享私有 CA AWS Organizations。如果您与个人账户共享,则需要使用AWS Resource Access Manager控制台或接受资源账户中的共享私有 CA APIs。

    配置共享时,请确认AWS Resource Access Manager资源账户中私有 CA 的资源共享使用AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority托管权限模板。此模板与 WorkSpaces 应用程序服务角色在颁发 CBA 证书时使用的 PCA 模板一致。

  3. 共享成功后,使用资源账户中的私有 CA 控制台查看共享的私有 CA。

  4. 使用 API 或 CLI 将私有 CA ARN 与 Applications Di WorkSpaces rectory Config 中的 CBA 相关联。目前, WorkSpaces 应用程序控制台不支持选择共享私有 CA ARNs。以下是 CLI 命令的示例:

    aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>