設定以憑證為依據的存取權
如要設定憑證式存取 (CBA),您必須建立新的 CBA 存取層級、強制執行 CBA 存取層級,並在用戶端應用程式中啟用 CBA。
事前準備
請確認端點驗證 Chrome 擴充功能和端點驗證輔助應用程式已部署至所有需要存取 Google Cloud 資源的裝置。這些裝置會成為可授予存取權的信任裝置。
如果您需要部署端點驗證,請參閱「部署端點驗證,以便與憑證式存取權搭配使用」。
設定 CBA
如要設定 CBA,請完成下列步驟:
建立新的 CBA 存取層級,在決定資源存取權時需要憑證。
使用下列任一方法,在資源上強制執行 CBA 存取層級:
- 如要限制對 VPC Service Controls 支援的 Google Cloud服務存取權,請建立具有 CBA 存取層級的 VPC Service Controls 範圍,然後將服務新增至範圍。如需詳細操作說明,請參閱「使用 VPC Service Controls 啟用以憑證為基礎的存取權」。
- 將 CBA 存取權層級繫結至您要限制存取權的使用者群組,藉此限制所有 Google Cloud 服務 (包括Google Cloud 控制台) 的存取權。如需詳細操作說明,請參閱「使用使用者群組啟用以憑證為基礎的存取權」。
強制執行 CBA 後,系統會拒絕未提供用戶端憑證的資源存取權。如要授予信任裝置的存取權,您必須確保用戶端能透過 mTLS 連線,正確地將憑證傳送至 Google API。您可以按照「在用戶端應用程式中啟用以憑證為基礎的存取權」一文中的程序,在 CBA 相容用戶端中啟用 CBA 功能。
後續步驟
- 瞭解如何透過以憑證為準的存取權限保護資源