Zertifikatbasierten Zugriff einrichten
Wenn Sie den zertifikatbasierten Zugriff einrichten möchten, müssen Sie eine neue Zugriffsebene für den zertifikatbasierten Zugriff erstellen, die Zugriffsebene für den zertifikatbasierten Zugriff erzwingen und den zertifikatbasierten Zugriff in Ihren Clientanwendungen aktivieren.
Hinweis
Die Chrome-Erweiterung „Endpunktprüfung“ und die Hilfsanwendung „Endpunktprüfung“ müssen auf allen Geräten bereitgestellt werden, die Zugriff auf Google Cloud -Ressourcen benötigen. Diese werden zu vertrauenswürdigen Geräten, denen Sie Zugriff gewähren können.
Wenn Sie die Endpunktprüfung bereitstellen müssen, lesen Sie den Hilfeartikel Endpunktprüfung für den ‑basierten Zugriff bereitstellen.
CBA einrichten
So richten Sie die CBA ein:
Erstellen Sie eine neue CBA-Zugriffsebene, die Zertifikate für die Bestimmung des Zugriffs auf Ressourcen erfordert.
Sie können die Zugriffsebene für die kundenspezifische Zugriffsverwaltung für eine Ressource mit einer der folgenden Methoden erzwingen:
- Sie können den Zugriff auf von VPC Service Controls unterstützte Google Cloud-Dienste einschränken, indem Sie einen VPC Service Controls-Perimeter mit der Zugriffsebene „CBA“ erstellen und dem Perimeter dann Dienste hinzufügen. Eine ausführliche Anleitung finden Sie unter Zertifikatbasierten Zugriff mit VPC Service Controls aktivieren.
- Sie können den Zugriff auf alle Google Cloud Dienste, einschließlich der Google Cloud Console, einschränken, indem Sie die CBA-Zugriffsebene an eine Nutzergruppe binden, für die Sie den Zugriff einschränken möchten. Eine detaillierte Anleitung finden Sie unter Zertifikatbasierten Zugriff mit Nutzergruppen aktivieren.
Nachdem Sie die CBA erzwungen haben, wird der Zugriff auf Ressourcen ohne Clientzertifikate verweigert. Wenn Sie vertrauenswürdigen Geräten Zugriff gewähren möchten, müssen Sie dafür sorgen, dass Ihre Clients Zertifikate über eine mTLS-Verbindung an die Google APIs senden. Aktivieren Sie dazu die CBA-Funktion in Ihrem CBA-kompatiblen Client. Weitere Informationen finden Sie unter Zertifikatbasierten Zugriff in Clientanwendungen aktivieren.