Habilita el acceso basado en certificados en las aplicaciones cliente

En esta página, se describe cómo habilitar el acceso basado en certificados (CBA) en tus aplicaciones cliente para llamar a las APIs de Google con bibliotecas o herramientas compatibles.

Para habilitar la CBA y permitir que las APIs de Google identifiquen un dispositivo, el cliente llamador debe establecer conexiones mTLS con las APIs de Google y, luego, descubrir los certificados TLS en el dispositivo. Este proceso se ilustra en el siguiente diagrama:

Flujo de conexión con el cliente

Clientes compatibles con CBA

Puedes usar CBA con los siguientes clientes:

  • Consola de Google Cloud (Chrome)
  • Versión 264.0.0 o posterior de Google Cloud CLI
  • Versión 1.3.6 o posterior de Terraform CLI
  • Bibliotecas cliente de las APIs de Google
    • Python
    • Golang

Habilita la CBA para la CLI de gcloud

  1. Pídeles a los usuarios que instalen o actualicen la CLI de gcloud para asegurarse de tener una versión que funcione con CBA, la versión 264.0.0 o una posterior.

    Los usuarios que tienen instalada Google Cloud CLI pueden confirmar que tienen la versión 264.0.0 o posterior con el siguiente comando:

    gcloud --version

    Si es necesario, los usuarios pueden actualizar su versión de Google Cloud CLI con el siguiente comando:

    gcloud components

  2. Para comenzar a usar CBA, los usuarios deben ejecutar el siguiente comando:

    gcloud config set context_aware/use_client_certificate true

Habilita CBA para la CLI de Terraform y las bibliotecas cliente de las APIs de Google

  1. Para habilitar CBA para la CLI de Terraform y las bibliotecas cliente de la API de Google, los usuarios deben configurar la siguiente variable de entorno:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Habilita CBA para IAP para computadoras

Para habilitar el acceso basado en certificados en IAP Desktop, haz lo siguiente:

  1. En la aplicación, selecciona Tools > Options.
  2. Selecciona Protege las conexiones a Google Cloud con el acceso basado en certificados.
  3. Haz clic en Aceptar.
  4. Cierra IAP Desktop y vuelve a ejecutarlo.

Si usas Active Directory, también puedes configurar un objeto de política de grupo para habilitar automáticamente el acceso basado en certificados para tus usuarios.