本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理憑證型身分驗證
<a name="certificate-based-authentication-manage"></a>

啟用憑證型身分驗證後，請檢閱下列任務。

## 私有 CA 憑證
<a name="certificate-based-authentication-manage-CA"></a>

在一般組態中，私有 CA 憑證的有效期為 10 年。如需有關取代憑證已過期的私有 CA，或重新簽發具有新有效期的私有 CA 的詳細資訊，請參閱[管理私有 CA 生命週期](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)。

## 最終使用者憑證
<a name="certificate-based-authentication-manage-certs"></a>

為 WorkSpaces 集區憑證型身分驗證發行 AWS 私有憑證授權單位 的最終使用者憑證不需要續約或撤銷。這些憑證都短期的。WorkSpaces 集區會自動為每個新工作階段發行新憑證，或針對持續時間較長的工作階段每 24 小時發行一次新憑證。WorkSpaces Pools 工作階段會控管這些最終使用者憑證的使用。如果您結束工作階段，WorkSpaces 集區會停止使用該憑證。這些最終使用者憑證的有效期間比一般 AWS 私有憑證授權單位 CRL 分佈短。因此，最終使用者憑證不需要撤銷，也不會出現在 CRL 中。

## 稽核報告
<a name="certificate-based-authentication-manage-audit"></a>

您可以建立稽核報告，以列出私有 CA 已發行或撤銷的所有憑證。如需詳細資訊，請參閱[使用包含您私有 CA 的稽核報告](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)。

## 記錄和監控
<a name="certificate-based-authentication-manage-logging"></a>

您可以使用 CloudTrail 記錄 WorkSpaces 集區對私有 CA 的 API 呼叫。如需詳細資訊，請參閱*AWS CloudTrail 《 使用者指南*》中的[什麼是 AWS CloudTrail？](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)，以及《 *AWS 私有憑證授權單位 使用者指南*》中的[使用 CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)。在 CloudTrail 事件歷史記錄中，您可以從 WorkSpaces 集區 EcmAssumeRoleSession 使用者名稱建立的 **acm-pca.amazonaws.com** 事件來源檢視 **GetCertificate** 和 **IssueCertificate** 事件名稱。 **EcmAssumeRoleSession** 系統會為每個 WorkSpaces 集區憑證型身分驗證請求記錄這些事件。如需詳細資訊，請參閱 *AWS CloudTrail 使用者指南*中的 [使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。