クロスアカウントPCA共有を有効にする - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントPCA共有を有効にする

プライベート CA (PCA) クロスアカウント共有では、他のアカウントに一元的な CA を使用するアクセス許可を付与できます。CA は、AWSResource Access Manager (RAM) を使用してアクセス許可を管理することで、証明書を生成および発行できます。これにより、すべてのアカウントでプライベート CA が不要になります。プライベート CA クロスアカウント共有は、同じ 内の AppStream 2.0 証明書ベースの認証 (CBA) で使用できます AWS リージョン。

AppStream 2.0 で共有プライベート CA リソースを使用するにはCBA、次の手順を実行します。

  1. 一元化された CBAで のプライベート CA を設定します AWS アカウント。詳細については、「証明書ベースの認証」を参照してください。

  2. プライベート CA を、 AppStream 2.0 リソース AWS アカウント が を利用するリソースと共有しますCBA。これを行うには、「 AWSRAMを使用してACMプライベート CA クロスアカウントを共有する方法」のステップに従います。証明書を作成するには、ステップ 3 を完了する必要はありません。プライベート CA を個々の と共有することも AWS アカウント、 を通じて共有することもできます AWS Organizations。個々のアカウントと共有する場合は、 AWS Resource Access Manager コンソールまたは を使用して、リソースアカウントの共有プライベート CA を受け入れる必要がありますAPIs。

    共有を設定するときは、 AWS Resource Access Manager リソースアカウントのプライベート CA のリソース共有が AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthorityマネージドアクセス許可テンプレートを使用していることを確認します。このテンプレートは、CBA証明書の発行時に AppStream 2.0 サービスロールが使用するPCAテンプレートと一致します。

  3. 共有が成功したら、リソースアカウントのプライベート CA コンソールを使用して共有プライベート CA を表示します。

  4. API または CLIを使用して、プライベート CA を AppStream 2.0 Directory Config CBAの ARNに関連付けます。現時点では、 AppStream 2.0 コンソールは共有プライベート CA の選択をサポートしていませんARNs。コマンドの例を次に示しますCLI。

    aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>