Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Puoi utilizzare l'accesso basato su certificato (CBA) per richiedere certificati X.509 verificati per accedere alle Google Cloud risorse. La credenziale aggiuntiva fornisce un indicatore più forte dell'identità del dispositivo e aiuta a proteggere la tua organizzazione dal furto o dalla perdita accidentale delle credenziali richiedendo la presenza sia delle credenziali utente sia del certificato del dispositivo originale prima di concedere l'accesso.
Fare affidamento solo sulle credenziali, come i token bearer, per concedere l'accesso alle API e alle risorse di Google Cloudpuò metterti a rischio. Queste credenziali possono essere esposte per errore dell'utente o diventare i principali obiettivi degli attaccanti. Se gli aggressori ottengono le credenziali, possono riprodurle per accedere alle risorse.
Utilizzando la CBA, puoi migliorare la sicurezza delle tue risorse richiedendo un ulteriore fattore di autorizzazione, un certificato del dispositivo. I certificati del dispositivo vengono convalidati e verificati utilizzando un handshake TLS reciproco. Gli utenti devono dimostrare di essere in possesso della chiave privata associata al certificato, fornendo così un indicatore affidabile dell'identità del dispositivo.
Di seguito è riportata un'illustrazione generale del flusso di accesso al CBA:
Vantaggi dell'utilizzo di Google CBA
Di seguito sono riportati alcuni dei vantaggi dell'utilizzo del CBA.
Sicurezza completa
Protegge le tue risorse importanti impedendo l'accesso tramite credenziali rubate da dispositivi non attendibili, ad esempio il furto di cookie.
Protegge tutte le richieste Google Cloud API indipendentemente dai punti di accesso, tra cui reti on-premise o di Google, browser web o applicazioni desktop.
Controllo granulare dei criteri
Funziona perfettamente con i perimetri di servizio VPC Service Controls e ti consente di specificare un controllo granulare dell'accesso alle tue risorse.
Funziona perfettamente con i gruppi di utenti e ti consente di applicare il CBA a un gruppo di utenti.
Esperienza di sviluppo ottima
Supporto automatico del CBA in librerie e strumenti comuni, come la CLI gcloud, che riduce il costo di programmazione dell'utilizzo del CBA.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Certificate-based access overview\n\nYou can use certificate-based access (CBA) to require verified X.509 certificates for\naccess to Google Cloud resources. The additional credential provides a stronger\nsignal of device identity and helps protect your organization from credential\ntheft or accidental loss by requiring that both the user credentials and the\noriginal device certificate are present before granting access.\n\nRelying only on credentials, like bearer tokens, to grant access to the Google Cloud\nAPIs and resources can put you at risk. Those credentials can be exposed by user\nerror or become prime targets for attackers. If attackers obtain the\ncredentials, they can replay the credentials to access resources.\n\nBy using CBA, you enhance the security of your resources by requiring an\nadditional authorization factor, a device certificate. Device certificates are\nvalidated and verified using a mutual TLS handshake. This requires users to\nprove possession of the private key associated with the certificate, thereby\nproviding a strong signal of device identity.\n\nFollowing is a high-level illustration of the CBA access flow:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n### The benefits of using Google CBA\n\nFollowing are some of the benefits of using CBA.\n\nComprehensive Security\n: Protects your important resources by preventing access using stolen\n credentials from untrusted devices, such as cookie theft.\n: Protects all Google Cloud API requests regardless of access points,\n including on-premises or Google networks, and web browsers or desktops applications.\n\nFine-grained Policy Control\n: Works seamlessly with VPC Service Controls service perimeters and lets you to specify\n fine-grained access control over your resources.\n: Works seamlessly with user groups and lets you apply CBA to a group of users.\n\nGood Developer Experience\n: Automated CBA support in common libraries and tools, such as the\n gcloud CLI, which reduces the programming cost of using CBA.\n\nWhat's next\n-----------\n\n- [Understand mutual TLS at Google Cloud](/chrome-enterprise-premium/docs/understand-mtls)\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
