Configure o acesso baseado em certificados
Para configurar o acesso baseado em certificados (CBA), tem de criar um novo nível de acesso CBA, aplicar o nível de acesso CBA e ativar o CBA nas suas aplicações cliente.
Antes de começar
Certifique-se de que a extensão do Chrome de validação de pontos finais e a app auxiliar de validação de pontos finais estão implementadas em todos os dispositivos que requerem acesso a recursos Google Cloud . Estes tornam-se dispositivos fidedignos aos quais pode conceder acesso.
Se precisar de implementar a validação de pontos finais, consulte o artigo Implementar a validação de pontos finais para utilização com acesso baseado em certificados.
Configure a CBA
Para configurar a CBA, conclua os seguintes passos:
Crie um novo nível de acesso de CBA que exija certificados ao determinar o acesso aos recursos.
Aplique o nível de acesso da CBA a um recurso através de um dos seguintes métodos:
- Restrinja o acesso aos serviços suportados pelo VPC Service Controls criando um perímetro do VPC Service Controls com o nível de acesso da CBA e, em seguida, adicionando serviços ao perímetro. Google CloudPara ver instruções detalhadas, consulte o artigo Ative o acesso baseado em certificados com o VPC Service Controls.
- Restrinja o acesso a todos os serviços do Google Cloud , incluindo a consola doGoogle Cloud , associando o nível de acesso da CBA a um grupo de utilizadores ao qual quer restringir o acesso. Para ver instruções detalhadas, consulte o artigo Ative o acesso baseado em certificados com grupos de utilizadores.
Depois de aplicar a CBA, o acesso a recursos sem certificados de cliente é recusado. Para conceder acesso a dispositivos fidedignos, tem de garantir que os seus clientes estão a enviar corretamente certificados para as APIs Google através de uma ligação mTLS. Pode fazê-lo ativando a funcionalidade CBA no seu cliente compatível com CBA através do procedimento descrito no artigo Ative o acesso baseado em certificados em aplicações cliente.