本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
私有 CA(PCA)跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 AWS Resource Access Manager
要将共享的私有 CA 资源与 AppStream 2.0 CBA 一起使用,请完成以下步骤:
-
在集中 AWS 账户模式中为 CBA 配置私有 CA。有关更多信息,请参阅 基于证书的身份验证。
-
与 AppStream 2.0 资源使用 CBA AWS 账户 的资源共享私有 CA。为此,请遵循 How to use AWS RAM to share your ACM Private CA cross-account
中的步骤。您无需完成步骤 3 来创建证书。您可以与个人共享私有 CA AWS 账户,也可以通过共享私有 CA AWS Organizations。如果您与个人账户共享,则需要使用 AWS Resource Access Manager 控制台或接受资源账户中的共享私有 CA APIs。 配置共享时,请确认 AWS Resource Access Manager 资源账户中私有 CA 的资源共享使用
AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority托管权限模板。此模板与 AppStream 2.0 服务角色在颁发 CBA 证书时使用的 PCA 模板一致。 -
共享成功后,使用资源账户中的私有 CA 控制台查看共享的私有 CA。
-
在 2.0 Di AppStream rectory Config 中,使用 API 或 CLI 将私有 CA ARN 与 CBA 相关联。目前, AppStream 2.0 控制台不支持选择共享私有 CA ARNs。以下是 CLI 命令的示例:
aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
