Descripción general del acceso basado en certificados
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Puedes usar el acceso basado en certificados (CBA) para exigir certificados X.509 verificados para el acceso a los recursos de Google Cloud . La credencial adicional proporciona una señal más sólida de identidad de dispositivo y ayuda a proteger a tu organización contra el robo de credenciales o la pérdida accidental, ya que requiere que se presenten las credenciales del usuario y el certificado de dispositivo original antes de otorgar acceso.
Depender solo de credenciales, como tokens de portador, para otorgar acceso a las APIs y los recursos de Google Cloudpuede ponerte en riesgo. Esas credenciales pueden exponerse por un error del usuario o convertirse en objetivos principales para los atacantes. Si los atacantes obtienen las credenciales, pueden volver a reproducirlas para acceder a los recursos.
Cuando usas la CBA, mejoras la seguridad de tus recursos, ya que requieres un factor de autorización adicional, un certificado de dispositivo. Los certificados del dispositivo se validan y verifican con un protocolo de enlace TLS mutuo. Esto requiere que los usuarios demuestren la posesión de la clave privada asociada con el certificado, lo que proporciona un indicador sólido de la identidad del dispositivo.
A continuación, se muestra una ilustración de alto nivel del flujo de acceso de la CBA:
Beneficios de usar el CBA de Google
A continuación, se muestran algunos de los beneficios de usar el CBA.
Seguridad integral
Protege tus recursos importantes, ya que evita el acceso con credenciales robadas desde dispositivos no confiables, como el robo de cookies.
Protege todas las Google Cloud solicitudes a la API, independientemente de los puntos de acceso,
incluidas las redes locales o de Google, y los navegadores web o las aplicaciones para computadoras de escritorio.
Control de políticas detallado
Funciona sin problemas con los perímetros de servicio de los Controles del servicio de VPC y te permite especificar un control de acceso detallado sobre tus recursos.
Funciona sin problemas con los grupos de usuarios y te permite aplicar la CBA a un grupo de usuarios.
Buena experiencia del desarrollador
Compatibilidad automatizada con CBA en bibliotecas y herramientas comunes, como la CLI de gcloud, que reduce el costo de programación de usar CBA.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["# Certificate-based access overview\n\nYou can use certificate-based access (CBA) to require verified X.509 certificates for\naccess to Google Cloud resources. The additional credential provides a stronger\nsignal of device identity and helps protect your organization from credential\ntheft or accidental loss by requiring that both the user credentials and the\noriginal device certificate are present before granting access.\n\nRelying only on credentials, like bearer tokens, to grant access to the Google Cloud\nAPIs and resources can put you at risk. Those credentials can be exposed by user\nerror or become prime targets for attackers. If attackers obtain the\ncredentials, they can replay the credentials to access resources.\n\nBy using CBA, you enhance the security of your resources by requiring an\nadditional authorization factor, a device certificate. Device certificates are\nvalidated and verified using a mutual TLS handshake. This requires users to\nprove possession of the private key associated with the certificate, thereby\nproviding a strong signal of device identity.\n\nFollowing is a high-level illustration of the CBA access flow:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n### The benefits of using Google CBA\n\nFollowing are some of the benefits of using CBA.\n\nComprehensive Security\n: Protects your important resources by preventing access using stolen\n credentials from untrusted devices, such as cookie theft.\n: Protects all Google Cloud API requests regardless of access points,\n including on-premises or Google networks, and web browsers or desktops applications.\n\nFine-grained Policy Control\n: Works seamlessly with VPC Service Controls service perimeters and lets you to specify\n fine-grained access control over your resources.\n: Works seamlessly with user groups and lets you apply CBA to a group of users.\n\nGood Developer Experience\n: Automated CBA support in common libraries and tools, such as the\n gcloud CLI, which reduces the programming cost of using CBA.\n\nWhat's next\n-----------\n\n- [Understand mutual TLS at Google Cloud](/chrome-enterprise-premium/docs/understand-mtls)\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
