Nesta página, descrevemos como ativar o acesso baseado em certificado (CBA, na sigla em inglês) nos seus aplicativos cliente para chamar as APIs do Google usando bibliotecas ou ferramentas compatíveis.
Para ativar a CBA e permitir que as APIs do Google identifiquem um dispositivo, o cliente da chamada precisa estabelecer conexões mTLS com as APIs do Google e descobrir os certificados TLS no dispositivo. Esse processo é ilustrado no diagrama a seguir:
Clientes compatíveis com CBA
Você pode usar a CBA com os seguintes clientes:
- Console do Google Cloud (Chrome)
- CLI do Google Cloud versão 264.0.0 ou mais recente
- CLI do Terraform versão 1.3.6 ou mais recente
- CLI do gsutil versão 264.0.0 ou mais recente
- Bibliotecas de cliente das APIs do Google
- Python
- Golang
Ativar a CBA para a CLI gcloud
Solicite que os usuários instalem ou atualizem a CLI gcloud para garantir que eles tenham uma versão compatível com a CBA, versão 264.0.0 ou posterior.
Os usuários com a Google Cloud CLI instalada podem confirmar que têm a versão 264.0.0 ou mais recente usando o seguinte comando:
gcloud --version
Se necessário, os usuários podem atualizar a versão da Google Cloud CLI usando o seguinte comando:
gcloud components
Para começar a usar a CBA, os usuários precisam executar o seguinte comando:
gcloud config set context_aware/use_client_certificate true
Ativar a CBA para a CLI do Terraform, a CLI gsutil e as bibliotecas de cliente das APIs do Google
Para ativar a CBA na CLI do Terraform, na CLI do gsutil e nas bibliotecas de cliente das APIs do Google, os usuários precisam definir a seguinte variável de ambiente:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Ativar a CBA para o IAP Desktop
Para ativar o acesso baseado em certificado no IAP Desktop, faça o seguinte:
- No aplicativo, selecione Ferramentas > Opções.
- Selecione Conexões seguras com o Google Cloud usando o acesso baseado em certificado.
- Clique em OK.
- Feche o IAP Desktop e inicie-o novamente.
Se você estiver usando o Active Directory, também poderá configurar um objeto de política de grupo para ativar automaticamente o acesso baseado em certificado para seus usuários.