Habilita el acceso basado en certificados en las aplicaciones cliente

En esta página, se describe cómo habilitar el acceso basado en certificados (CBA) en las aplicaciones cliente para llamar a las APIs de Google con bibliotecas o herramientas compatibles.

Para habilitar la CBA y permitir que las APIs de Google identifiquen un dispositivo, el cliente que realiza la llamada debe establecer conexiones de mTLS con las APIs de Google y, luego, descubrir los certificados TLS en el dispositivo. Este proceso se ilustra en el siguiente diagrama:

Flujo de conexión de cliente

Clientes compatibles con CBA

Puedes usar la CBA con los siguientes clientes:

  • Consola de Google Cloud (Chrome)
  • Google Cloud CLI versión 264.0.0 o posterior
  • CLI de Terraform versión 1.3.6 o posterior
  • CLI de gsutil versión 264.0.0 o posterior
  • Bibliotecas cliente de la API de Google
    • Python
    • Golang

Habilita el CBA para gcloud CLI

  1. Haz que tus usuarios instalen o actualicen gcloud CLI para asegurarse de tener una versión que funcione con CBA, versión 264.0.0 o posterior.

    Los usuarios que tengan instalado Google Cloud CLI pueden confirmar que tienen la versión 264.0.0 o posterior mediante el siguiente comando:

    gcloud --version

    Si es necesario, los usuarios pueden actualizar su versión de Google Cloud CLI con el siguiente comando:

    gcloud components

  2. Para comenzar a usar CBA, los usuarios deben ejecutar el siguiente comando:

    gcloud config set context_aware/use_client_certificate true

Habilita la CBA para la CLI de Terraform y la CLI de gsutil y las bibliotecas cliente de las APIs de Google

  1. A fin de habilitar CBA para la CLI de Terraform y la CLI de gsutil, y las bibliotecas cliente de las APIs de Google, los usuarios deben configurar la siguiente variable de entorno:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Habilita la CBA para IAP Desktop

Para habilitar el acceso basado en certificados en IAP Desktop, haz lo siguiente:

  1. En la aplicación, selecciona Herramientas > Opciones.
  2. Selecciona Proteger las conexiones a Google Cloud mediante el acceso basado en certificados.
  3. Haz clic en OK.
  4. Cierra IAP Desktop y vuelve a iniciarlo.

Si usas Active Directory, también puedes configurar un objeto de política de grupo para habilitar automáticamente el acceso basado en certificados para tus usuarios.