Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Vous pouvez utiliser l'accès basé sur les certificats (CBA) pour exiger des certificats X.509 validés pour accéder aux ressources Google Cloud . Les identifiants supplémentaires renforcent l'identité de l'appareil et aident à protéger votre organisation contre le vol ou la perte accidentelle d'identifiants, en exigeant que les identifiants utilisateur et le certificat d'appareil d'origine soient tous deux présents avant d'accorder l'accès.
S'appuyer uniquement sur des identifiants, tels que des jetons porteurs, pour accorder l'accès aux API et aux ressources Google Cloudpeut vous exposer à des risques. Ces identifiants peuvent être exposés par erreur de l'utilisateur ou devenir des cibles de choix pour les pirates informatiques. Si des pirates informatiques obtiennent les identifiants, ils peuvent les lire à nouveau pour accéder aux ressources.
En utilisant la CBA, vous renforcez la sécurité de vos ressources en exigeant un facteur d'autorisation supplémentaire, un certificat d'appareil. Les certificats de l'appareil sont validés et vérifiés à l'aide d'un handshake TLS mutuel. Pour ce faire, les utilisateurs doivent prouver qu'ils sont en possession de la clé privée associée au certificat, ce qui fournit un signal fort de l'identité de l'appareil.
Vous trouverez ci-dessous une illustration générale du flux d'accès CBA:
Avantages de l'utilisation de la fonctionnalité de comparaison des prix Google
Voici quelques-uns des avantages de l'utilisation de la CBA.
Sécurité complète
Protège vos ressources importantes en empêchant l'accès à l'aide d'identifiants volés à partir d'appareils non approuvés, comme le vol de cookies.
Protège toutes les requêtes d'API, quels que soient les points d'accès, y compris les réseaux sur site ou Google, ainsi que les navigateurs Web ou les applications pour ordinateurs.
Google Cloud
Contrôle précis des règles
Fonctionne parfaitement avec les périmètres de service VPC Service Controls et vous permet de spécifier un contrôle d'accès précis sur vos ressources.
Fonctionne parfaitement avec les groupes d'utilisateurs et vous permet d'appliquer la CBA à un groupe d'utilisateurs.
Bonne expérience pour les développeurs
Compatibilité avec la CBA automatisée dans les bibliothèques et outils courants, tels que la gcloud CLI, ce qui réduit les coûts de programmation liés à l'utilisation de la CBA.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["# Certificate-based access overview\n\nYou can use certificate-based access (CBA) to require verified X.509 certificates for\naccess to Google Cloud resources. The additional credential provides a stronger\nsignal of device identity and helps protect your organization from credential\ntheft or accidental loss by requiring that both the user credentials and the\noriginal device certificate are present before granting access.\n\nRelying only on credentials, like bearer tokens, to grant access to the Google Cloud\nAPIs and resources can put you at risk. Those credentials can be exposed by user\nerror or become prime targets for attackers. If attackers obtain the\ncredentials, they can replay the credentials to access resources.\n\nBy using CBA, you enhance the security of your resources by requiring an\nadditional authorization factor, a device certificate. Device certificates are\nvalidated and verified using a mutual TLS handshake. This requires users to\nprove possession of the private key associated with the certificate, thereby\nproviding a strong signal of device identity.\n\nFollowing is a high-level illustration of the CBA access flow:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n### The benefits of using Google CBA\n\nFollowing are some of the benefits of using CBA.\n\nComprehensive Security\n: Protects your important resources by preventing access using stolen\n credentials from untrusted devices, such as cookie theft.\n: Protects all Google Cloud API requests regardless of access points,\n including on-premises or Google networks, and web browsers or desktops applications.\n\nFine-grained Policy Control\n: Works seamlessly with VPC Service Controls service perimeters and lets you to specify\n fine-grained access control over your resources.\n: Works seamlessly with user groups and lets you apply CBA to a group of users.\n\nGood Developer Experience\n: Automated CBA support in common libraries and tools, such as the\n gcloud CLI, which reduces the programming cost of using CBA.\n\nWhat's next\n-----------\n\n- [Understand mutual TLS at Google Cloud](/chrome-enterprise-premium/docs/understand-mtls)\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
