Configurar o acesso baseado em certificado
Para configurar o acesso baseado em certificado (CBA, na sigla em inglês), é necessário criar um novo nível de acesso CBA, aplicar esse nível e ativar o CBA nos aplicativos clientes.
Antes de começar
Verifique se a extensão do Chrome e o app auxiliar da Verificação de endpoints estão implantados em todos os dispositivos que exigem acesso a Google Cloud recursos. Eles se tornam dispositivos confiáveis para os quais você pode conceder acesso.
Se você precisar implantar a Verificação de endpoints, consulte Como implantar a Verificação de endpoints para usar com o acesso baseado em certificado.
Configurar a CBA
Para configurar a CBA, siga estas etapas:
Crie um novo nível de acesso do CBA que exija certificados ao determinar o acesso a recursos.
Aplique o nível de acesso CBA a um recurso usando um dos seguintes métodos:
- Restrinja o acesso a serviços Google Cloud com suporte ao VPC Service Controls criando um perímetro do VPC Service Controls com o nível de acesso CBA e adicionando serviços ao perímetro. Para instruções detalhadas, consulte Ativar o acesso baseado em certificado com o VPC Service Controls.
- Restringir o acesso a todos os Google Cloud serviços, incluindo o console do Google Cloud, vinculando o nível de acesso do CBA a um grupo de usuários que você quer restringir. Para instruções detalhadas, consulte Ativar o acesso baseado em certificado com grupos de usuários.
Depois de aplicar o CBA, o acesso a recursos sem certificados de cliente é negado. Para conceder acesso a dispositivos confiáveis, é necessário garantir que seus clientes estão enviando certificados corretamente para as APIs do Google por uma conexão mTLS. Para fazer isso, ative o recurso CBA no cliente compatível com CBA usando o procedimento em Ativar o acesso com base em certificado em aplicativos cliente.