本頁說明如何在用戶端應用程式中啟用以憑證為基礎的存取權 (CBA),以便使用相容的程式庫或工具呼叫 Google API。
如要啟用 CBA,並允許 Google API 識別裝置,呼叫端用戶端必須與 Google API 建立 mTLS 連線,然後在裝置上探索 TLS 憑證。下圖說明瞭這個程序:
與 CBA 相容的用戶端
您可以搭配下列用戶端使用 CBA:
- Google Cloud 控制台 (Chrome)
- Google Cloud CLI 264.0.0 以上版本
- Terraform CLI 1.3.6 以上版本
- Google API 用戶端程式庫
- Python
- Go 語言
為 gcloud CLI 啟用 CBA
請使用者安裝或更新 gcloud CLI,確保他們使用的是可與 CBA 搭配運作的 264.0.0 以上版本。
已安裝 Google Cloud CLI 的使用者,可以使用下列指令確認他們使用的是 264.0.0 以上版本:
gcloud --version如有需要,使用者可以使用下列指令更新 Google Cloud CLI 版本:
gcloud components如要開始使用 CBA,使用者必須執行下列指令:
gcloud config set context_aware/use_client_certificate true
為 Terraform CLI 和 Google API 用戶端程式庫啟用 CBA
如要為 Terraform CLI 和 Google API 用戶端程式庫啟用 CBA,使用者必須設定下列環境變數:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
為 IAP Desktop 啟用 CBA
如要在 IAP Desktop 中啟用憑證存取權,請按照下列步驟操作:
- 在應用程式中,依序選取「工具」 >「選項」。
- 選取「使用以憑證為依據的存取權,確保與 Google Cloud 的連線安全無虞」。
- 按一下 [確定]。
- 關閉 IAP Desktop,然後重新啟動。
如果您使用的是 Active Directory,也可以設定群組政策物件,自動為使用者啟用以憑證為基礎的存取權。