启用跨账户 PCA 共享 - Amazon AppStream 2.0

启用跨账户 PCA 共享

私有 CA(PCA)跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 AWS Resource Access Manager(RAM)来管理权限,从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与相同 AWS 区域内的 AppStream 2.0 基于证书的身份验证(CBA)一起使用。

要将共享的私有 CA 资源与 AppStream 2.0 CBA 一起使用,请完成以下步骤:

  1. 在集中式 AWS 账户中为 CBA 配置私有 CA。有关更多信息,请参阅 基于证书的身份验证

  2. 与使用 CBA 的 AppStream 2.0 资源所在的资源 AWS 账户共享私有 CA。为此,请遵循 How to use AWS RAM to share your ACM Private CA cross-account 中的步骤。您无需完成步骤 3 来创建证书。您可以与个人 AWS 账户共享私有 CA,也可以通过 AWS Organizations共享。如果您与个人账户共享,则需要使用 AWS Resource Access Manager 控制台或 API 接受资源账户中的共享私有 CA。

    在配置共享时,请确认资源账户中私有 CA 的 AWS Resource Access Manager 资源共享,使用的是 AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority 托管权限模板。此模板与 AppStream 2.0 服务角色在颁发 CBA 证书时所使用的 PCA 模板一致。

  3. 共享成功后,使用资源账户中的私有 CA 控制台查看共享的私有 CA。

  4. 使用 API 或 CLI 将私有 CA ARN 与您 AppStream 2.0 Directory Config 中的 CBA 相关联。目前,AppStream 2.0 控制台不支持选择共享的私有 CA ARN。以下是 CLI 命令的示例:

    aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>