このページでは、互換性のあるライブラリまたはツールを使用して Google API を呼び出すために、クライアント アプリケーションで証明書ベースのアクセス(CBA)を有効にする方法について説明します。
CBA を有効にして Google API がデバイスを識別できるようにするには、呼び出し元のクライアントが Google API と mTLS 接続を確立してから、デバイス上の TLS 証明書を検出する必要があります。このプロセスを次の図に示します。
CBA 互換クライアント
CBA は次のクライアントでご利用いただけます。
- Google Cloud コンソール(Chrome)
- Google Cloud CLI バージョン 264.0.0 以降。
- Terraform CLI バージョン 1.3.6 以降
- Google API クライアント ライブラリ
- Python
- Golang
gcloud CLI に対して CBA を有効にする
ユーザーに gcloud CLI のインストールまたは更新を行ってもらい、CBA バージョン(バージョン 264.0.0 以降)があることを確認してください。
Google Cloud CLI がインストールされているユーザーは、次のコマンドを使用して、バージョン 264.0.0 以降がインストールされていることを確認できます。
gcloud --version
必要に応じて、次のコマンドを使用して Google Cloud CLI のバージョンを更新できます。
gcloud components
CBA の使用を開始するには、ユーザーは次のコマンドを実行する必要があります。
gcloud config set context_aware/use_client_certificate true
Terraform CLI と Google API クライアント ライブラリに対する CBA を有効にする
Terraform CLI と Google API クライアント ライブラリに対して CBA を有効にするには、次の環境変数を設定する必要があります。
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
IAP Desktop に対して CBA を有効にする
IAP Desktop で証明書ベースのアクセスを有効にするには、次の操作を行います。
- アプリケーションで [ツール] > [オプション] を選択します。
- [証明書ベースのアクセスを使用した Google Cloud との安全な接続] を選択します。
- [OK] をクリックします。
- IAP Desktop を終了して再起動します。
Active Directory を使用している場合は、グループ ポリシー オブジェクトを構成して、ユーザーの証明書ベースのアクセスを自動的に有効にすることもできます。