您可以使用基于证书的访问权限 (CBA) 要求已验证 X.509 证书才能访问 Google Cloud 资源。额外的凭据可提供更强的设备标识信号,并要求在授予访问权限之前要求用户凭据和原始设备证书同时存在,以帮助保护您的组织免遭凭据被盗或意外丢失。
仅依赖不记名令牌等凭据授予对 Google Cloud API 和资源的访问权限可能会让您面临风险。这些凭据可能会通过用户错误公开,也可能成为攻击者的主要目标。如果攻击者获得凭据,则可以重放凭据以访问资源。
通过使用 CBA,您可以要求提供额外的授权因素(设备证书),从而提高资源的安全性。设备证书使用双向 TLS 握手进行验证和验证。这需要用户证明拥有与证书关联的私钥,从而提供很强的设备身份信号。
下面是 CBA 访问流程的简要说明:
使用 Google CBA 的优势
以下是使用 CBA 的一些优势。
- 全面安全保障
- 通过使用不可信设备(如 Cookie 盗窃)防止访问来保护您的重要资源。
- 无论所有接入点(包括本地或 Google 网络,以及网络浏览器或桌面应用)都受到所有 Google Cloud API 请求的保护。
- 精细的政策控制
- 与 VPC Service Controls 服务边界无缝协作,并且允许您指定对资源的精细访问权限控制。
- 可与用户群组无缝协作,让您可以将 CBA 应用于一组用户。
- 良好的开发者体验
- 支持常见库和工具(如 gcloud CLI)中的自动 CBA 支持,可降低使用 CBA 时的编程费用。