Kontoübergreifendes Teilen PCA aktivieren - Amazon AppStream 2.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifendes Teilen PCA aktivieren

Die kontoübergreifende Nutzung von Private CA (PCA) bietet die Möglichkeit, anderen Konten Berechtigungen zur Nutzung einer zentralen Zertifizierungsstelle zu erteilen. Die CA kann Zertifikate generieren und ausstellen, indem sie AWSResource Access Manager (RAM) verwendet, um die Berechtigungen zu verwalten. Dadurch entfällt die Notwendigkeit einer privaten Zertifizierungsstelle für jedes Konto. Die kontoübergreifende gemeinsame Nutzung von privaten Zertifizierungsstellen kann zusammen mit der zertifikatsbasierten AppStream 2.0-Authentifizierung (CBA) innerhalb desselben verwendet werden. AWS-Region

Gehen Sie wie folgt vor, um eine gemeinsam genutzte private CA-Ressource mit AppStream 2.0 CBA zu verwenden:

  1. Konfigurieren Sie die private Zertifizierungsstelle für CBA in einer zentralen Umgebung AWS-Konto. Weitere Informationen finden Sie unter Zertifikatbasierte Authentifizierung.

  2. Teilen Sie die private CA mit der Ressource AWS-Konten , auf die AppStream 2.0-Ressourcen zurückgreifenCBA. Folgen Sie dazu den Schritten unter So verwenden AWS RAM Sie Ihre ACM private CA kontoübergreifend gemeinsam nutzen. Sie müssen Schritt 3 nicht abschließen, um ein Zertifikat zu erstellen. Sie können die private Zertifizierungsstelle entweder mit einer Einzelperson AWS-Konten teilen oder über diese teilen AWS Organizations. Wenn Sie Daten mit einzelnen Konten teilen, müssen Sie die gemeinsame private Zertifizierungsstelle in Ihrem Ressourcenkonto akzeptieren, indem Sie die AWS Resource Access Manager Konsole oder verwendenAPIs.

    Stellen Sie bei der Konfiguration der Freigabe sicher, dass die AWS Resource Access Manager Ressourcenfreigabe für die private Zertifizierungsstelle im Ressourcenkonto die Vorlage für AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority verwaltete Berechtigungen verwendet. Diese Vorlage entspricht der Vorlage, die von der PCA AppStream 2.0-Servicerolle bei der Ausstellung von CBA Zertifikaten verwendet wird.

  3. Nachdem die Freigabe erfolgreich war, können Sie die gemeinsam genutzte private Zertifizierungsstelle mithilfe der privaten CA-Konsole im Ressourcenkonto aufrufen.

  4. Verwenden Sie das API oderCLI, um die private CA ARN CBA in Ihrer AppStream 2.0-Verzeichniskonfiguration zuzuordnen. Derzeit unterstützt die AppStream 2.0-Konsole die Auswahl einer gemeinsam genutzten privaten Zertifizierungsstelle nichtARNs. Im Folgenden finden Sie CLI Beispielbefehle:

    aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>