証明書ベースのアクセスを設定する

証明書ベースのアクセス（CBA）を設定するには、新しい CBA アクセスレベルを作成し、CBA アクセスレベルを適用して、クライアントアプリケーションで CBA を有効にする必要があります。

準備

Endpoint Verification Chrome 拡張機能と Endpoint Verification ヘルパーアプリが、Google Cloud リソースへのアクセスを必要とするすべてのデバイスにデプロイされていることを確認します。これらのデバイスは、アクセス権を付与できる信頼できるデバイスになります。

Endpoint Verification をデプロイする必要がある場合は、証明書ベースのアクセスで使用する Endpoint Verification のデプロイをご覧ください。

CBA を設定する

CBA を設定するには、次の手順を行います。

リソースへのアクセスを決定するときに証明書を必要とする新しい CBA アクセスレベルを作成します。
次のいずれかの方法で、リソースに CBA アクセスレベルを適用します。
- CBA アクセスレベルを使用して VPC Service Controls の境界を作成し、境界にサービスを追加することで、VPC Service Controls でサポートされている Google Cloud サービスへのアクセスを制限します。詳しい手順については、VPC Service Controls で証明書ベースのアクセスを有効にするをご覧ください。
- アクセスを制限するユーザーグループに CBA アクセスレベルをバインドすることにより、Google Cloud コンソールを含むすべての Google Cloud サービスへのアクセスを制限します。詳しい手順については、ユーザーグループを使用して証明書ベースのアクセスを有効にするをご覧ください。
CBA を適用すると、クライアント証明書のないリソースへのアクセスが拒否されます。信頼できるデバイスにアクセスを許可するには、クライアントが mTLS 接続を介して Google API に証明書を正しく送信していることを確認する必要があります。それには、クライアントアプリケーションで証明書ベースのアクセスを有効にするの手順で、CBA 互換クライアントで CBA 機能を有効にします。

次のステップ

証明書ベースのアクセスによるリソースの保護について学習する