本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用跨帳戶 PCA 共用
<a name="pca-sharing"></a>

私有 CA (PCA) 跨帳戶共用可讓其他帳戶授予使用集中式 CA 的許可。CA 可以使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) 來產生和發行憑證，以管理許可。這消除了每個帳戶中私有 CA 的需求。私有 CA 跨帳戶共用可與 WorkSpaces 應用程式憑證型身分驗證 (CBA) 搭配使用 AWS 區域。

若要搭配 WorkSpaces 應用程式 CBA 使用共用私有 CA 資源，請完成下列步驟：

1. 在集中式 中設定 CBA 的私有 CA AWS 帳戶。如需詳細資訊，請參閱[憑證型身分驗證](certificate-based-authentication.md)。

1. 與 WorkSpaces 應用程式資源利用 CBA AWS 帳戶 的資源共用私有 CA。若要這樣做，請遵循[如何使用 AWS RAM 來共用 ACM Private CA 跨帳戶](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)中的步驟。您不需要完成步驟 3 即可建立憑證。您可以與個人共用私有 CA AWS 帳戶，或透過 共用 AWS Organizations。如果您與個別帳戶共用，則需要使用 AWS Resource Access Manager 主控台或 APIs 接受資源帳戶中的共用私有 CA。

   設定共用時，請確認 AWS Resource Access Manager 資源帳戶中私有 CA 的資源共用正在使用 `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`受管許可範本。此範本與發行 CBA 憑證時 WorkSpaces 應用程式服務角色所使用的 PCA 範本一致。

1. 共用成功後，請使用資源帳戶中的 Private CA 主控台來檢視共用的 Private CA。

1. 使用 API 或 CLI 將私有 CA ARN 與 WorkSpaces 應用程式目錄組態中的 CBA 建立關聯。目前，WorkSpaces 應用程式主控台不支援選取共用的私有 CA ARNs。以下是 CLI 命令範例：

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>`