クライアント アプリケーションで証明書ベースのアクセスを有効にする

このページでは、互換性のあるライブラリまたはツールを使用して Google API を呼び出すために、クライアント アプリケーションで証明書ベースのアクセス(CBA)を有効にする方法について説明します。

CBA を有効にして Google API がデバイスを識別できるようにするには、呼び出し元のクライアントが Google API と mTLS 接続を確立してから、デバイス上の TLS 証明書を検出する必要があります。このプロセスを次の図に示します。

クライアント接続フロー

CBA 互換クライアント

CBA は次のクライアントでご利用いただけます。

  • Google Cloud コンソール(Chrome)
  • Google Cloud CLI バージョン 264.0.0 以降。
  • Terraform CLI バージョン 1.3.6 以降
  • Google API クライアント ライブラリ
    • Python
    • Golang

gcloud CLI に対して CBA を有効にする

  1. ユーザーに gcloud CLI のインストールまたは更新を行ってもらい、CBA バージョン(バージョン 264.0.0 以降)があることを確認してください。

    Google Cloud CLI がインストールされているユーザーは、次のコマンドを使用して、バージョン 264.0.0 以降がインストールされていることを確認できます。

    gcloud --version
    

    必要に応じて、次のコマンドを使用して Google Cloud CLI のバージョンを更新できます。

    gcloud components
    
  2. CBA の使用を開始するには、ユーザーは次のコマンドを実行する必要があります。

    gcloud config set context_aware/use_client_certificate true
    

Terraform CLI と Google API クライアント ライブラリに対する CBA を有効にする

  1. Terraform CLI と Google API クライアント ライブラリに対して CBA を有効にするには、次の環境変数を設定する必要があります。

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
    

IAP Desktop に対して CBA を有効にする

IAP Desktop で証明書ベースのアクセスを有効にするには、次の操作を行います。

  1. アプリケーションで [ツール] > [オプション] を選択します。
  2. [証明書ベースのアクセスを使用した Google Cloud との安全な接続] を選択します。
  3. [OK] をクリックします。
  4. IAP Desktop を終了して再起動します。

Active Directory を使用している場合は、グループ ポリシー オブジェクトを構成して、ユーザーの証明書ベースのアクセスを自動的に有効にすることもできます。