创建具有 CBA 访问权限级别的 VPC Service Controls 边界,然后将服务添加到边界中,从而限制对 VPC Service Controls 支持的 Google Cloud 服务的访问。如需了解详细说明,请参阅使用 VPC Service Controls 启用基于证书的访问权限。
将 CBA 访问权限级别绑定到要限制其访问权限的用户组,从而限制对所有 Google Cloud 服务(包括 Google Cloud 控制台)的访问。有关详细说明,请参阅为用户群组启用基于证书的访问权限。
强制执行 CBA 后,系统会拒绝对没有客户端证书的资源的访问。如需向可信设备授予访问权限,您必须确保您的客户端通过 mTLS 连接正确地向 Google API 发送证书。为此,您可以按照在客户端应用中启用基于证书的访问权限中的步骤,在 CBA 兼容客户端中启用 CBA 功能。