设置基于证书的访问权限

要设置基于证书的访问权限 (CBA)，您必须创建新的 CBA 访问权限级别，强制执行 CBA 访问权限级别，并在客户端应用中启用 CBA。

准备工作

确保在需要访问 Google Cloud 资源的所有设备上部署端点验证 Chrome 扩展程序和端点验证帮助程序应用。这些设备会成为您可以授予访问权限的可信设备。

如需设置 CBA，请完成以下步骤：

创建新的 CBA 访问权限级别，该访问权限级别要求在确定对资源的访问权限时提供证书。
使用以下方法之一对资源强制执行 CBA 访问权限级别：
- 创建具有 CBA 访问权限级别的 VPC Service Controls 边界，然后将服务添加到边界中，从而限制对 VPC Service Controls 支持的 Google Cloud 服务的访问。如需了解详细说明，请参阅使用 VPC Service Controls 启用基于证书的访问权限。
- 将 CBA 访问权限级别绑定到要限制其访问权限的用户组，从而限制对所有 Google Cloud 服务（包括 Google Cloud 控制台）的访问。有关详细说明，请参阅为用户群组启用基于证书的访问权限。
强制执行 CBA 后，系统会拒绝对没有客户端证书的资源的访问。如需向可信设备授予访问权限，您必须确保您的客户端通过 mTLS 连接正确地向 Google API 发送证书。为此，您可以按照在客户端应用中启用基于证书的访问权限中的步骤，在 CBA 兼容客户端中启用 CBA 功能。