Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Mit dem zertifikatbasierten Zugriff können Sie für den Zugriff auf Google Cloud Ressourcen bestätigte X.509-Zertifikate verlangen. Die zusätzlichen Anmeldedaten sorgen für ein stärkeres Signal der Geräteidentität und helfen, Ihre Organisation vor Anmeldedatendiebstahl oder versehentlichem Verlust zu schützen, da vor dem Gewähren des Zugriffs sowohl die Anmeldedaten des Nutzers als auch das ursprüngliche Gerätezertifikat vorliegen müssen.
Wenn Sie nur Anmeldedaten wie Bearer-Tokens verwenden, um Zugriff auf die Google CloudAPIs und Ressourcen zu gewähren, kann das ein Risiko darstellen. Diese Anmeldedaten können durch Nutzerfehler offengelegt werden oder zu bevorzugten Zielen für Angreifer werden. Wenn Angreifer die Anmeldedaten erhalten, können sie sie wiedergeben, um auf Ressourcen zuzugreifen.
Mit der gerätebasierten Autorisierung erhöhen Sie die Sicherheit Ihrer Ressourcen, da ein zusätzlicher Autorisierungsfaktor, ein Gerätezertifikat, erforderlich ist. Gerätezertifikate werden mithilfe eines mTLS-Handshakes validiert und verifiziert. Dazu müssen Nutzer nachweisen, dass sie im Besitz des mit dem Zertifikat verknüpften privaten Schlüssels sind. Dies ist ein starkes Signal für die Geräteidentität.
Im Folgenden findest du eine allgemeine Abbildung des CBA-Zugriffsflusses:
Vorteile der Verwendung von Google CBA
Im Folgenden sind einige Vorteile der CBA aufgeführt.
Umfassende Sicherheit
Schützt Ihre wichtigen Ressourcen, indem der Zugriff mit gestohlenen Anmeldedaten von nicht vertrauenswürdigen Geräten verhindert wird, z. B. Cookie-Diebstahl.
Schützt alle Google Cloud API-Anfragen unabhängig von den Zugriffspunkten, einschließlich On-Premises- oder Google-Netzwerken sowie Webbrowsern oder Desktopanwendungen.
Detaillierte Richtliniensteuerung
Funktioniert nahtlos mit den Dienstperimetern von VPC Service Controls und ermöglicht eine detaillierte Zugriffssteuerung für Ihre Ressourcen.
Funktioniert nahtlos mit Nutzergruppen und ermöglicht die Anwendung von CBA auf eine Gruppe von Nutzern.
Gute Entwicklererfahrung
Automatische CBA-Unterstützung in gängigen Bibliotheken und Tools wie der gcloud CLI, wodurch die Programmierkosten für die Verwendung von CBA gesenkt werden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[],[],null,["# Certificate-based access overview\n\nYou can use certificate-based access (CBA) to require verified X.509 certificates for\naccess to Google Cloud resources. The additional credential provides a stronger\nsignal of device identity and helps protect your organization from credential\ntheft or accidental loss by requiring that both the user credentials and the\noriginal device certificate are present before granting access.\n\nRelying only on credentials, like bearer tokens, to grant access to the Google Cloud\nAPIs and resources can put you at risk. Those credentials can be exposed by user\nerror or become prime targets for attackers. If attackers obtain the\ncredentials, they can replay the credentials to access resources.\n\nBy using CBA, you enhance the security of your resources by requiring an\nadditional authorization factor, a device certificate. Device certificates are\nvalidated and verified using a mutual TLS handshake. This requires users to\nprove possession of the private key associated with the certificate, thereby\nproviding a strong signal of device identity.\n\nFollowing is a high-level illustration of the CBA access flow:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n### The benefits of using Google CBA\n\nFollowing are some of the benefits of using CBA.\n\nComprehensive Security\n: Protects your important resources by preventing access using stolen\n credentials from untrusted devices, such as cookie theft.\n: Protects all Google Cloud API requests regardless of access points,\n including on-premises or Google networks, and web browsers or desktops applications.\n\nFine-grained Policy Control\n: Works seamlessly with VPC Service Controls service perimeters and lets you to specify\n fine-grained access control over your resources.\n: Works seamlessly with user groups and lets you apply CBA to a group of users.\n\nGood Developer Experience\n: Automated CBA support in common libraries and tools, such as the\n gcloud CLI, which reduces the programming cost of using CBA.\n\nWhat's next\n-----------\n\n- [Understand mutual TLS at Google Cloud](/chrome-enterprise-premium/docs/understand-mtls)\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
