

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Cross-account PCA 共享
<a name="pca-sharing"></a>

私有 CA（PCA）跨账户共享允许为其他账户授予使用集中式 CA 的权限。该 CA 可以通过使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/)（RAM）来管理权限，从而生成和颁发证书。这样就无需在每个账户中都使用私有 CA。私有 CA 跨账户共享可以与基于 WorkSpaces 应用程序证书的身份验证 (CBA) 一起使用。 AWS 区域

要将共享的私有 CA 资源与 WorkSpaces 池 CBA 一起使用，请完成以下步骤：

1. 以集中 AWS 账户方式为 CBA 配置私有 CA。有关更多信息，请参阅 [Certificate-based 身份验证和 WorkSpaces 个人](certificate-based-authentication.md)。

1. 与资源 WorkSpaces 池资源使用 CBA AWS 账户 的资源共享私有 CA。为此，请按照[如何使用 AWS RAM 跨账户共享您的 ACM 私有 CA 中的步骤进行](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)操作。您无需完成步骤 3 来创建证书。您可以与个人 AWS 账户共享私有 CA，也可以通过 AWS Organizations共享。如果您与个人账户共享，则需要使用 AWS Resource Access Manager 控制台或 API 接受资源账户中的共享私有 CA。

   配置共享时，请确认 AWS Resource Access Manager 资源账户中私有 CA 的资源共享使用`AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`托管权限模板。此模板与 P WorkSpaces ools 服务角色在颁发 CBA 证书时使用的 PCA 模板一致。

1. 共享成功后，使用资源账户中的私有 CA 控制台查看共享的私有 CA。

1. 使用 API 或 CLI 将私有 CA ARN 与 Pools 目录中的 WorkSpaces CBA 相关联。目前， WorkSpaces 池控制台不支持选择共享的私有 CA ARN。有关更多信息，请参阅《[亚马逊 WorkSpaces服务 API 参考](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html)》。