本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用跨帳戶 PCA 共用
<a name="pca-sharing"></a>

私有 CA (PCA) 跨帳戶共用可讓您授予其他帳戶使用集中式 CA 的許可。CA 可以使用 [AWSResource Access Manager](https://aws.amazon.com/ram/) (RAM) 來管理許可，以產生和發行憑證。這消除了每個帳戶中私有 CA 的需求。私有 CA 跨帳戶共用可與相同 中的 WorkSpaces 應用程式憑證型身分驗證 (CBA) 搭配使用AWS 區域。

若要搭配 WorkSpaces 集區 CBA 使用共用的私有 CA 資源，請完成下列步驟：

1. 在集中式設定 CBA 的私有 CAAWS 帳戶。如需詳細資訊，請參閱[憑證型身分驗證和 WorkSpaces Personal](certificate-based-authentication.md)。

1. 與 WorkSpaces 集區資源使用 CBA AWS 帳戶的資源共用私有 CA。若要這樣做，請遵循[如何使用 AWSRAM 來共用 ACM Private CA 跨帳戶](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)中的步驟。您不需要完成步驟 3 即可建立憑證。您可以與個別 共用私有 CAAWS 帳戶，或透過 共用AWS Organizations。如果您與個別帳戶共用，則需要使用AWS Resource Access Manager主控台或 APIs 接受資源帳戶中的共用私有 CA。

   設定共用時，請確認AWS Resource Access Manager資源帳戶中私有 CA 的資源共用正在使用 `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`受管許可範本。此範本與發行 CBA 憑證時 WorkSpaces 集區服務角色所使用的 PCA 範本一致。

1. 共用成功後，請使用資源帳戶中的 Private CA 主控台檢視共用的 Private CA。

1. 使用 API 或 CLI 將私有 CA ARN 與 WorkSpaces 集區目錄中的 CBA 建立關聯。目前，WorkSpaces 集區主控台不支援選取共用的私有 CA ARNs。如需詳細資訊，請參閱 [Amazon WorkSpaces Service API 參考](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html)。