Zertifikatbasierten Zugriff einrichten

Wenn Sie den zertifikatbasierten Zugriff einrichten möchten, müssen Sie eine neue CBA-Zugriffsebene erstellen, die CBA-Zugriffsebene erzwingen und CBA in Ihren Clientanwendungen aktivieren.

Hinweis

Achten Sie darauf, dass die Endpunktprüfung auf allen Geräten bereitgestellt wird, die Zugriff auf Google Cloud-Ressourcen benötigen. Diese Geräte werden zu vertrauenswürdigen Geräten, auf die Sie Zugriff gewähren können.

Informationen zum Bereitstellen der Endpunktprüfung finden Sie unter Endpunktprüfung für den zertifikatsbasierten Zugriff bereitstellen.

CBA einrichten

So richten Sie CBA ein:

  1. Erstellen Sie eine neue CBA-Zugriffsebene, für die beim Festlegen des Zugriffs auf Ressourcen Zertifikate erforderlich sind.

  2. Erzwingen Sie die CBA-Zugriffsebene für eine Ressource mit einer der folgenden Methoden:

    • Beschränken Sie den Zugriff auf von VPC Service Controls unterstützte Google Cloud-Dienste. Erstellen Sie dazu einen VPC Service Controls-Perimeter mit der CBA-Zugriffsebene und fügen Sie dann Dienste in den Perimeter ein. Eine ausführliche Anleitung finden Sie unter Zertifikatsbasierten Zugriff mit VPC Service Controls aktivieren.
    • Beschränken Sie den Zugriff auf alle Google Cloud-Dienste, einschließlich der Google Cloud Console, indem Sie die CBA-Zugriffsebene an eine Nutzergruppe binden, auf die Sie den Zugriff beschränken möchten. Eine ausführliche Anleitung finden Sie unter Zertifikatsbasierten Zugriff mit Nutzergruppen aktivieren.
  3. Nachdem Sie die CBA erzwungen haben, wird der Zugriff auf Ressourcen ohne Clientzertifikate verweigert. Damit vertrauenswürdigen Geräten Zugriff gewährt wird, müssen Ihre Clients über eine mTLS-Verbindung Zertifikate korrekt an die Google APIs senden. Dazu aktivieren Sie die CBA-Funktion in Ihrem CBA-kompatiblen Client. Folgen Sie dazu der Anleitung unter Zertifikatsbasierten Zugriff in Clientanwendungen aktivieren.

Nächste Schritte