証明書ベースのアクセスでリソースを保護するには、リソースへのアクセスを決定する際に証明書を要求するアクセスレベルを作成します。アクセスレベルを作成するには、カスタム アクセスレベルの作成をご覧ください。
カスタム アクセスレベルの作成時に使用する値は任意に選択できますが、カスタム アクセスレベルの式は次のとおりです。
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
たとえば、gcloud CLI を使用して次のコマンドを実行すると、カスタム アクセスレベルを作成できます。
gcloud access-context-manager levels create LEVEL_NAME \
--title=TITLE \
--custom-level-spec=FILE \
--description=DESCRIPTION \
--policy=POLICY_NAME
FILE が参照する .yaml ファイルのコンテンツは、次のカスタム式となります。
expression: "certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE"
アクセスレベルの適用
アクセスレベルを作成したら、そのリソースを適用してその制限を適用する必要があります。
VM への管理アクセス制限の適用
IAP TCP 転送を使用して、VM インスタンスに(SSH と RDP を使用して)管理アクセスのアクセスレベルを適用できます。
- IAP で保護されたトンネル ユーザーのロールを付与されたユーザーまたはグループの場合は、権限を編集して条件を追加します。
- 前の手順で定義したアクセスレベルの名前(gcloud CLI の例では
TITLEの値)を使用して、アクセスレベルでアクセスを制限します。