このページでは、互換性のあるライブラリまたはツールを使用して Google API を呼び出すために、クライアント アプリケーションで証明書ベースのアクセス(CBA)を有効にする方法について説明します。
CBA を有効にして、Google API がデバイスを識別できるようにするには、呼び出し元のクライアントが Google API との mTLS 接続を確立してから、デバイス上の TLS 証明書を検出する必要があります。このプロセスを次の図に示します。
CBA 対応のクライアント
CBA は次のクライアントで使用できます。
- Google Cloud コンソール(Chrome)
- Google Cloud CLI バージョン 264.0.0 以降
- Terraform CLI バージョン 1.3.6 以降
- gsutil CLI バージョン 264.0.0 以降
- Google API クライアント ライブラリ
- Python
- Golang
gcloud CLI の CBA を有効にする
ユーザーに gcloud CLI のインストールまたは更新を行ってもらい、CBA バージョン(バージョン 264.0.0 以降)があることを確認してください。
Google Cloud CLI がインストールされているユーザーは、次のコマンドを使用して、バージョン 264.0.0 以降を使用しているかどうかを確認できます。
gcloud --version
必要に応じて、次のコマンドを使用して Google Cloud CLI のバージョンを更新できます。
gcloud components
CBA の使用を開始するには、次のコマンドを実行します。
gcloud config set context_aware/use_client_certificate true
Terraform CLI、gsutil CLI、Google API クライアント ライブラリの CBA を有効にする
Terraform CLI、gsutil CLI、Google API クライアント ライブラリで CBA を有効にするには、次の環境変数を設定する必要があります。
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
IAP Desktop で CBA を有効にする
IAP Desktop で証明書ベースのアクセスを有効にするには、次の操作を行います。
- アプリケーションで、[ツール] > [オプション] を選択します。
- [証明書ベースのアクセスを使用して Google Cloud への安全な接続] を選択します。
- [OK] をクリックします。
- IAP Desktop を閉じて、もう一度起動します。
Active Directory を使用している場合は、グループ ポリシー オブジェクトを構成して、ユーザーの証明書ベースのアクセスを自動的に有効にすることもできます。