本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用跨账户 PCA 共享
<a name="pca-sharing"></a>

私有 CA（PCA）跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/)（RAM）来管理权限，从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与基于 WorkSpaces 应用程序证书的身份验证 (CBA) 一起使用。 AWS 区域

要将共享的私有 CA 资源与 WorkSpaces 应用程序 CBA 一起使用，请完成以下步骤：

1. 以集中 AWS 账户方式为 CBA 配置私有 CA。有关更多信息，请参阅 [基于证书的身份验证](certificate-based-authentication.md)。

1. 与 WorkSpaces 应用程序资源使用 CBA AWS 账户 的资源共享私有 CA。为此，请遵循 [How to use AWS RAM to share your ACM Private CA cross-account](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) 中的步骤。您无需完成步骤 3 来创建证书。您可以与个人共享私有 CA AWS 账户，也可以通过共享私有 CA AWS Organizations。如果您与个人账户共享，则需要使用 AWS Resource Access Manager 控制台或接受资源账户中的共享私有 CA APIs。

   配置共享时，请确认 AWS Resource Access Manager 资源账户中私有 CA 的资源共享使用`AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`托管权限模板。此模板与 WorkSpaces 应用程序服务角色在颁发 CBA 证书时使用的 PCA 模板一致。

1. 共享成功后，使用资源账户中的私有 CA 控制台查看共享的私有 CA。

1. 使用 API 或 CLI 将私有 CA ARN 与 Applications Di WorkSpaces rectory Config 中的 CBA 相关联。目前， WorkSpaces 应用程序控制台不支持选择共享私有 CA ARNs。以下是 CLI 命令的示例：

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>`