啟用跨帳戶PCA共用 - Amazon AppStream 2.0

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用跨帳戶PCA共用

私有 CA (PCA) 跨帳戶共用可讓您授予其他帳戶使用集中式 CA 的許可。CA 可以使用 AWS Resource Access Manager (RAM) 來管理許可,以產生和發行憑證。這會消除每個帳戶中私有 CA 的需求。私有 CA 跨帳戶共用可與相同 中的 AppStream 2.0 憑證型身分驗證 (CBA) 搭配使用 AWS 區域。

若要搭配 AppStream 2.0 使用共用的私有 CA 資源CBA,請完成下列步驟:

  1. 在集中式 CBA中設定 的私有 CA AWS 帳戶。如需詳細資訊,請參閱憑證型身分驗證

  2. 與資源共用私有 CA, AWS 帳戶 其中 AppStream 2CBA.0 資源利用 。若要這樣做,請依照如何使用 AWSRAM來共用ACM私有 CA 跨帳戶中的步驟進行。您不需要完成步驟 3 即可建立憑證。您可以與個人共用私有 CA AWS 帳戶,或透過 共用 AWS Organizations。如果您與個別帳戶共用,則需要使用 AWS Resource Access Manager 主控台或 接受資源帳戶中的共用私有 CAAPIs。

    設定共用時,請確認 AWS Resource Access Manager 資源帳戶中私有 CA 的資源共用正在使用AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority受管許可範本。此範本與發行CBA憑證時 AppStream 2.0 服務角色使用的PCA範本一致。

  3. 共用成功後,使用資源帳戶中的私有 CA 主控台檢視共用的私有 CA。

  4. 使用 API或 CLI 將 Private CA ARN與 AppStream 2.0 Directory Config CBA中的 建立關聯。目前, AppStream 2.0 主控台不支援選取共用的私有 CAARNs。以下是範例CLI命令:

    aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>