本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用憑證型身分驗證後,請檢閱下列任務。
私有 CA 憑證
在一般組態中,私有 CA 憑證的有效期為 10 年。如需有關取代憑證已過期的私有 CA,或重新簽發具有新有效期的私有 CA 的詳細資訊,請參閱管理私有 CA 生命週期。
最終使用者憑證
為 WorkSpaces 集區憑證型身分驗證發行 AWS Private Certificate Authority 的最終使用者憑證不需要續約或撤銷。這些憑證都短期的。WorkSpaces 集區會為每個新工作階段自動發出新憑證,或為持續時間較長的工作階段每 24 小時發出一次新憑證。WorkSpaces 集區工作階段會管理這些最終使用者憑證的使用。如果您結束工作階段,WorkSpaces 集區會停止使用該憑證。這些最終使用者憑證的有效期比一般 AWS Private Certificate Authority CRL 分佈短。因此,最終使用者憑證不需要撤銷,也不會出現在 CRL 中。
稽核報告
您可以建立稽核報告,以列出私有 CA 已發行或撤銷的所有憑證。如需詳細資訊,請參閱使用包含您私有 CA 的稽核報告。
記錄和監控
您可以使用 CloudTrail 記錄 WorkSpaces 集區對私有 CA 的 API 呼叫。如需詳細資訊,請參閱 AWS CloudTrail 使用者指南中的什麼是 AWS CloudTrail?,以及 AWS Private Certificate Authority 使用者指南中的使用 CloudTrail。在 CloudTrail 事件歷史記錄中,您可以從 WorkSpaces 集區 EcmAssumeRoleSession 使用者名稱建立的 acm-pca.amazonaws.com 事件來源檢視 GetCertificate 和 IssueCertificate 事件名稱。 EcmAssumeRoleSession 系統會針對每個 WorkSpaces 集區憑證型身分驗證請求記錄這些事件。如需詳細資訊,請參閱 AWS CloudTrail 使用者指南中的 使用 CloudTrail 事件歷史記錄檢視事件。
