本页面介绍了如何在客户端应用中启用基于证书的访问权限 (CBA),以使用兼容的库或工具调用 Google API。
如需启用 CBA 并允许 Google API 识别设备,调用方客户端必须与 Google API 建立 mTLS 连接,然后在设备上发现 TLS 证书。此过程如下图所示:
与 CBA 兼容的客户
您可以对以下客户端使用 CBA:
- Google Cloud 控制台 (Chrome)
- Google Cloud CLI 264.0.0 或更高版本
- Terraform CLI 版本 1.3.6 或更高版本
- gsutil CLI 版本 264.0.0 或更高版本
- Google API 客户端库
- Python
- Go 语言
为 gcloud CLI 启用 CBA
让用户安装或更新 gcloud CLI,以确保其版本可用于 CBA 264.0.0 或更高版本。
已安装 Google Cloud CLI 的用户可以使用以下命令确认其是 264.0.0 或更高版本:
gcloud --version如果需要,用户可以使用以下命令更新其 Google Cloud CLI 版本:
gcloud components要开始使用 CBA,用户必须运行以下命令:
gcloud config set context_aware/use_client_certificate true
为 Terraform CLI、gsutil CLI 和 Google API 客户端库启用 CBA
如需为 Terraform CLI、gsutil CLI 和 Google API 客户端库启用 CBA,用户必须设置以下环境变量:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1