Configurare l'accesso basato su certificato
Per configurare l'accesso basato su certificato (CBA), devi creare un nuovo livello di accesso CBA, applicarlo e attivarlo nelle applicazioni client.
Prima di iniziare
Assicurati che l'estensione di Chrome Endpoint Verification e l'app helper Endpoint Verification siano implementate su tutti i dispositivi che richiedono l'accesso alle risorse. Google Cloud Questi diventano dispositivi attendibili a cui puoi concedere l'accesso.
Se devi eseguire il deployment di Verifica endpoint, consulta Eseguire il deployment di Verifica endpoint per l'utilizzo con l'accesso basato su certificato.
Configurare la CBA
Per configurare CBA:
Crea un nuovo livello di accesso CBA che richiede certificati per determinare l'accesso alle risorse.
Applica il livello di accesso CBA a una risorsa utilizzando uno dei seguenti metodi:
- Limita l'accesso ai servizi supportati dai Controlli di servizio VPC Google Cloud creando un perimetro dei Controlli di servizio VPC con il livello di accesso CBA, quindi aggiungendo i servizi al perimetro. Per istruzioni dettagliate, consulta Abilitare l'accesso basato su certificato con Controlli di servizio VPC.
- Limita l'accesso a tutti i Google Cloud servizi, inclusa la console Google Cloud, associando il livello di accesso CBA a un gruppo di utenti per il quale vuoi limitare l'accesso. Per istruzioni dettagliate, vedi Abilitare l'accesso basato su certificato con i gruppi di utenti.
Dopo aver applicato il controllo delle autorizzazioni basato sui criteri, l'accesso alle risorse senza certificati client viene negato. Per concedere l'accesso ai dispositivi attendibili, devi assicurarti che i tuoi client inviino correttamente i certificati alle API di Google tramite una connessione mTLS. Per farlo, attiva la funzionalità CBA nel client compatibile con CBA utilizzando la procedura descritta in Attivare l'accesso basato su certificato nelle applicazioni client.
Passaggi successivi
- Scopri di più sulla protezione delle risorse con accesso basato su certificato