Zertifikatbasierten Zugriff einrichten
Um den zertifikatbasierten Zugriff einzurichten, müssen Sie eine neue CBA-Zugriffsebene erstellen, die CBA-Zugriffsebene erzwingen und CBA in Ihren Clientanwendungen aktivieren.
Hinweise
Achten Sie darauf, dass die Chrome-Erweiterung „Endpunktprüfung“ und die Hilfsanwendung für die Endpunktprüfung auf allen Geräten bereitgestellt sind, die Zugriff auf Google Cloud-Ressourcen benötigen. Diese werden zu vertrauenswürdigen Geräten, denen Sie Zugriff gewähren können.
Informationen zum Bereitstellen der Endpunktprüfung finden Sie unter Endpunktprüfung für zertifikatbasierten Zugriff bereitstellen.
CBA einrichten
So richten Sie CBA ein:
Erstellen Sie eine neue CBA-Zugriffsebene, für die Zertifikate erforderlich sind, um den Zugriff auf Ressourcen zu bestimmen.
Sie können die CBA-Zugriffsebene für eine Ressource mit einer der folgenden Methoden erzwingen:
- Beschränken Sie den Zugriff auf von VPC Service Controls unterstützte Google Cloud-Dienste, indem Sie einen VPC Service Controls-Perimeter mit der CBA-Zugriffsebene erstellen und dem Perimeter dann Dienste hinzufügen. Eine ausführliche Anleitung finden Sie unter Zertifikatbasierten Zugriff mit VPC Service Controls aktivieren.
- Beschränken Sie den Zugriff auf alle Google Cloud-Dienste, einschließlich der Google Cloud Console, indem Sie die CBA-Zugriffsebene an eine Nutzergruppe binden, auf die Sie den Zugriff beschränken möchten. Eine ausführliche Anleitung finden Sie unter Zertifikatsbasierten Zugriff mit Nutzergruppen aktivieren.
Nachdem Sie CBA erzwungen haben, wird der Zugriff auf Ressourcen ohne Clientzertifikate verweigert. Wenn Sie vertrauenswürdigen Geräten Zugriff gewähren möchten, müssen Sie dafür sorgen, dass Ihre Clients Zertifikate über eine mTLS-Verbindung korrekt an die Google APIs senden. Aktivieren Sie dazu die CBA-Funktion in Ihrem CBA-kompatiblen Client. Folgen Sie dazu der Anleitung unter Zertifikatbasierten Zugriff in Clientanwendungen aktivieren.