本页介绍了如何在客户端应用中启用基于证书的访问 (CBA),以便使用兼容的库或工具调用 Google API。
如需启用 CBA 并允许 Google API 识别设备,调用方客户端必须与 Google API 建立 mTLS 连接,然后发现设备上的 TLS 证书。下图说明了此过程:
与 CBA 兼容的客户端
您可以将 CBA 与以下客户端搭配使用:
- Google Cloud 控制台(Chrome)
- Google Cloud CLI 264.0.0 或更高版本
- Terraform CLI 1.3.6 或更高版本
- Google API 客户端库
- Python
- Go 语言
为 gcloud CLI 启用 CBA
让您的用户安装或更新 gcloud CLI,以确保他们的版本支持 CBA 264.0.0 或更高版本。
已安装 Google Cloud CLI 的用户可以使用以下命令确认他们拥有的是 264.0.0 或更高版本:
gcloud --version如有必要,用户可以使用以下命令更新其 Google Cloud CLI 版本:
gcloud components如需开始使用 CBA,用户必须运行以下命令:
gcloud config set context_aware/use_client_certificate true
为 Terraform CLI 和 Google API 客户端库启用 CBA
如需为 Terraform CLI 和 Google API 客户端库启用 CBA,用户必须设置以下环境变量:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
为 IAP Desktop 启用 CBA
如需在 IAP 桌面中启用基于证书的访问权限,请执行以下操作:
- 在应用中,依次选择工具 > 选项。
- 选择使用基于证书的访问权限安全地连接到 Google Cloud。
- 点击确定。
- 关闭 IAP 桌面版,然后重新启动。
如果您使用的是 Active Directory,还可以配置组政策对象,以自动为用户启用基于证书的访问权限。