Información general sobre el acceso basado en certificados
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Puedes usar el acceso basado en certificados (CBA) para requerir certificados X.509 verificados para acceder a los recursos de Google Cloud . La credencial adicional proporciona una señal más sólida de la identidad del dispositivo y ayuda a proteger tu organización frente al robo o la pérdida accidental de credenciales, ya que requiere que tanto las credenciales de usuario como el certificado del dispositivo original estén presentes para conceder acceso.
Si solo usas credenciales, como tokens de portador, para conceder acceso a las APIs y los recursos de Google Cloud, puedes correr riesgos. Esas credenciales pueden exponerse por un error del usuario o convertirse en objetivos principales para los atacantes. Si los atacantes obtienen las credenciales, pueden reproducirlas para acceder a los recursos.
Al usar la autenticación basada en certificados, aumentas la seguridad de tus recursos, ya que se requiere un factor de autorización adicional: un certificado de dispositivo. Los certificados de dispositivo se validan y verifican mediante un handshake TLS mutuo. Para ello, los usuarios deben demostrar que tienen la clave privada asociada al certificado, lo que proporciona una señal sólida de la identidad del dispositivo.
A continuación, se muestra una ilustración general del flujo de acceso de la CBA:
Ventajas de usar la CBA de Google
A continuación se indican algunas de las ventajas de usar CBA.
Comprehensive Security
Protege tus recursos importantes impidiendo el acceso con credenciales robadas de dispositivos no fiables, como el robo de cookies.
Protege todas las solicitudes a la API, independientemente de los puntos de acceso, incluidas las redes locales o de Google, y los navegadores web o las aplicaciones de escritorio. Google Cloud
Control de políticas pormenorizado
Funciona a la perfección con los perímetros de servicio de Controles de Servicio de VPC y te permite especificar un control de acceso detallado a tus recursos.
Funciona a la perfección con los grupos de usuarios y te permite aplicar la autenticación basada en certificados a un grupo de usuarios.
Buena experiencia de desarrollo
Compatibilidad automatizada con CBA en bibliotecas y herramientas comunes, como la CLI de gcloud, lo que reduce el coste de programación de CBA.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[],[],null,["# Certificate-based access overview\n\nYou can use certificate-based access (CBA) to require verified X.509 certificates for\naccess to Google Cloud resources. The additional credential provides a stronger\nsignal of device identity and helps protect your organization from credential\ntheft or accidental loss by requiring that both the user credentials and the\noriginal device certificate are present before granting access.\n\nRelying only on credentials, like bearer tokens, to grant access to the Google Cloud\nAPIs and resources can put you at risk. Those credentials can be exposed by user\nerror or become prime targets for attackers. If attackers obtain the\ncredentials, they can replay the credentials to access resources.\n\nBy using CBA, you enhance the security of your resources by requiring an\nadditional authorization factor, a device certificate. Device certificates are\nvalidated and verified using a mutual TLS handshake. This requires users to\nprove possession of the private key associated with the certificate, thereby\nproviding a strong signal of device identity.\n\nFollowing is a high-level illustration of the CBA access flow:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n### The benefits of using Google CBA\n\nFollowing are some of the benefits of using CBA.\n\nComprehensive Security\n: Protects your important resources by preventing access using stolen\n credentials from untrusted devices, such as cookie theft.\n: Protects all Google Cloud API requests regardless of access points,\n including on-premises or Google networks, and web browsers or desktops applications.\n\nFine-grained Policy Control\n: Works seamlessly with VPC Service Controls service perimeters and lets you to specify\n fine-grained access control over your resources.\n: Works seamlessly with user groups and lets you apply CBA to a group of users.\n\nGood Developer Experience\n: Automated CBA support in common libraries and tools, such as the\n gcloud CLI, which reduces the programming cost of using CBA.\n\nWhat's next\n-----------\n\n- [Understand mutual TLS at Google Cloud](/chrome-enterprise-premium/docs/understand-mtls)\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
