本页面介绍如何在客户端应用中启用基于证书的访问权限 (CBA),以便使用兼容的库或工具调用 Google API。
如需启用 CBA 并允许 Google API 识别设备,调用方客户端必须与 Google API 建立 mTLS 连接,然后在设备上发现 TLS 证书。此过程如下图所示:
可兼容 CBA 的客户端
您可以通过以下客户端使用 CBA:
- Google Cloud 控制台 (Chrome)
- Google Cloud CLI 264.0.0 或更高版本
- Terraform CLI 版本 1.3.6 或更高版本
- gsutil CLI 264.0.0 或更高版本
- Google API 客户端库
- Python
- Go 语言
为 gcloud CLI 启用 CBA
让您的用户安装或更新 gcloud CLI,以确保他们拥有支持 CBA 的版本 264.0.0 或更高版本。
已安装 Google Cloud CLI 的用户可以使用以下命令确认自己拥有版本 264.0.0 或更高版本:
gcloud --version
如果需要,用户可以使用以下命令更新其 Google Cloud CLI 版本:
gcloud components
如需开始使用 CBA,用户必须运行以下命令:
gcloud config set context_aware/use_client_certificate true
为 Terraform CLI、gsutil CLI 和 Google API 客户端库启用 CBA
如需为 Terraform CLI、gsutil CLI 和 Google API 客户端库启用 CBA,用户必须设置以下环境变量:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
为 IAP 桌面启用 CBA
如需在 IAP 桌面中启用基于证书的访问权限,请执行以下操作:
- 在应用中,依次选择 Tools > Options。
- 选择使用基于证书的访问权限保护与 Google Cloud 的连接。
- 点击 OK(确定)。
- 关闭 IAP 桌面并重新启动。
如果您使用的是 Active Directory,还可以配置群组政策对象以自动为您的用户启用基于证书的访问权限。