En esta página, se describe cómo habilitar el acceso basado en certificados (CBA) en las aplicaciones cliente para llamar a las API de Google mediante bibliotecas o herramientas compatibles.
Para habilitar la CBA y permitir que las API de Google identifiquen un dispositivo, el cliente que realiza la llamada debe establecer conexiones mTLS con las API de Google y, luego, descubrir los certificados TLS en el dispositivo. Este proceso se ilustra en el siguiente diagrama:
Clientes compatibles con la CBA
Puedes usar CBA con los siguientes clientes:
- Consola de Google Cloud (Chrome)
- Google Cloud CLI versión 264.0.0 o posterior
- Terraform CLI versión 1.3.6 o posterior
- gsutil CLI versión 264.0.0 o posterior
- Bibliotecas cliente de la API de Google
- Python
- Golang
Habilita la CBA para la CLI de gcloud
Haz que tus usuarios instalen o actualicen la CLI de gcloud para asegurarse de que tengan una versión que funcione con CBA, versión 264.0.0 o posterior.
Los usuarios que tengan Google Cloud CLI instalada pueden usar el siguiente comando para confirmar que tienen la versión 264.0.0 o posterior:
gcloud --versionSi es necesario, los usuarios pueden actualizar su versión de Google Cloud CLI mediante el siguiente comando:
gcloud componentsPara comenzar a usar la CBA, los usuarios deben ejecutar el siguiente comando:
gcloud config set context_aware/use_client_certificate true
Habilita la CBA para la CLI de Terraform, la CLI de gsutil y las bibliotecas cliente de la API de Google.
Para habilitar la CBA en la CLI de Terraform, la CLI de gsutil y las bibliotecas cliente de la API de Google, los usuarios deben configurar la siguiente variable de entorno:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1