Permitir compartilhamento de PCA entre contas
O compartilhamento entre contas de CA privada (PCA) oferece a capacidade de conceder permissões para que outras contas usem uma CA centralizada. A CA pode gerar e emitir certificados usando o AWS Resource Access Manager
Para usar um recurso de CA privada compartilhado com a CBA do AppStream 2.0, conclua as seguintes etapas:
-
Configure a CA privada para CBA em uma Conta da AWS centralizada. Para ter mais informações, consulte Autenticação baseada em certificado.
-
Compartilhe a CA privada com as Contas da AWS em que os recursos do AppStream 2.0 utilizam o CBA. Para fazer isso, siga as etapas em How to use AWS RAM to share your ACM Private CA cross-account
. Não é necessário realizar a etapa 3 para criar um certificado. Você pode compartilhar a CA privada com Contas da AWS individuais ou compartilhar por meio do AWS Organizations. Se você compartilhar com contas individuais, será necessário aceitar a CA privada compartilhada em sua conta de recursos usando o console do AWS Resource Access Manager ou as APIs. Ao configurar o compartilhamento, confirme se o compartilhamento de recursos do AWS Resource Access Manager da CA privada na conta do recurso está usando o modelo de permissão gerenciada
AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority. Esse modelo se alinha ao modelo de PCA usado pelo perfil de serviço AppStream 2.0 ao emitir certificados CBA. -
Depois que o compartilhamento for bem-sucedido, visualize a CA privada compartilhada usando o console da CA privada na conta do recurso.
-
Use a API ou a CLI para associar o ARN privado da CA ao CBA na configuração do diretório do AppStream 2.0. No momento, o console do AppStream 2.0 não oferece suporte à seleção de ARNs compartilhados de CA privada. Veja a seguir exemplos de comandos CLI:
aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
