Habilitación del uso compartido entre cuentas de una CA privada

Configure la CA privada para la CBA en una Cuenta de AWS centralizada. Para obtener más información, consulte Autenticación basada en certificados.

Comparta la CA privada con el recurso Cuentas de AWS donde los recursos de AppStream 2.0 utilizan la CBA. Para ello, siga los pasos que se indican en Cómo usar la RAM de AWS para compartir su cuenta cruzada de CA privada de AWS. No necesita completar el paso 3 para crear un certificado. Puede compartir la CA privada con Cuentas de AWS individuales o compartirla a través de AWS Organizations. Si comparte con cuentas individuales, debe aceptar la CA privada compartida en la cuenta de recursos mediante la consola de AWS Resource Access Manager o las API.

Al configurar el recurso compartido, confirme que el recurso compartido de AWS Resource Access Manager de la CA privada de la cuenta de recursos utilice la plantilla de permisos administrada por AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority. Esta plantilla se alinea con la plantilla de PCA que utiliza el rol de servicio de AppStream 2.0 al emitir certificados de CBA.

Una vez que el recurso se haya compartido correctamente, podrá ver la CA privada compartida mediante la consola de Private CA en la cuenta de recursos.

Utilice la API o la CLI para asociar el ARN de CA privada con la CBA en Directory Config de AppStream 2.0. En este momento, la consola de AppStream 2.0 no admite la selección de ARN de CA privadas compartidas. A continuación se muestran ejemplos de comandos de la CLI.

aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>