设置基于证书的访问权限
如需设置基于证书的访问权限 (CBA),您必须创建新的 CBA 访问权限级别、强制执行 CBA 访问权限级别,并在客户端应用中启用 CBA。
准备工作
确保在需要访问资源的所有设备上部署 Endpoint Verification Chrome 扩展程序和 Endpoint Verification 帮助程序应用。 Google Cloud 这些设备会成为可信设备,您可以向其授予访问权限。
如果您需要部署端点验证,请参阅部署端点验证以与基于证书的访问权限搭配使用。
设置 CBA
如需设置 CBA,请完成以下步骤:
创建新的 CBA 访问权限级别,在确定对资源的访问时需要证书。
使用以下方法之一对资源强制执行 CBA 访问权限级别:
- 通过创建具有 CBA 访问权限级别的 VPC Service Controls 边界,然后将服务添加到该边界,限制对 VPC Service Controls 支持的 Google Cloud服务的访问。如需了解详细说明,请参阅使用 VPC Service Controls 启用基于证书的访问。
- 通过将 CBA 访问权限级别绑定到您要限制访问权限的用户群组,限制对所有服务(包括 Google Cloud 控制台)的访问。 Google Cloud 如需查看详细说明,请参阅通过用户群组启用基于证书的访问权限。
强制执行 CBA 后,系统会拒绝对未提供客户端证书的资源的访问。如需授予对受信任设备的访问权限,您必须确保客户端通过 mTLS 连接正确地向 Google API 发送证书。为此,您可以按照在客户端应用中启用基于证书的访问中的步骤,在 CBA 兼容的客户端中启用 CBA 功能。
后续步骤
- 了解如何使用基于证书的访问权限保护资源