בדף הזה מוסבר איך להפעיל גישה מבוססת-אישורים (CBA) באפליקציות לקוח כדי לבצע קריאות ל-Google APIs באמצעות ספריות או כלים תואמים.
כדי להפעיל CBA ולאפשר ל-Google APIs לזהות מכשיר, לקוח המתקשר צריך ליצור חיבורי mTLS עם Google APIs, ואז לגלות את אישורי ה-TLS במכשיר. התהליך הזה מוסבר בתרשים הבא:
לקוחות שתואמים ל-CBA
אפשר להשתמש ב-CBA עם הלקוחות הבאים:
- מסוףGoogle Cloud (Chrome)
- Google Cloud CLI בגרסה 264.0.0 ואילך
- Terraform CLI גרסה 1.3.6 ואילך
- ספריות לקוח ל-Google API
- Python
- Golang
הפעלת CBA ב-CLI של gcloud
המשתמשים צריכים להתקין או לעדכן את ה-CLI של gcloud כדי לוודא שיש להם גרסה שעובדת עם CBA, גרסה 264.0.0 ואילך.
משתמשים שהתקינו את Google Cloud CLI יכולים לוודא שיש להם גרסה 264.0.0 ואילך באמצעות הפקודה הבאה:
gcloud --versionבמקרה הצורך, המשתמשים יכולים לעדכן את הגרסה של Google Cloud CLI באמצעות הפקודה הבאה:
gcloud componentsכדי להתחיל להשתמש ב-CBA, המשתמשים צריכים להריץ את הפקודה הבאה:
gcloud config set context_aware/use_client_certificate true
הפעלת CBA עבור Terraform CLI וספריות הלקוח של Google API
כדי להפעיל CBA עבור Terraform CLI וספריות לקוח של Google API, המשתמשים צריכים להגדיר את משתנה הסביבה הבא:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
הפעלת CBA עבור IAP Desktop
כדי להפעיל גישה שמבוססת על אישורים ב-IAP Desktop:
- באפליקציה, בוחרים באפשרות כלים > אפשרויות.
- בוחרים באפשרות Secure connections to Google Cloud by using certificate-based access (אבטחת חיבורים ל-Google Cloud באמצעות גישה מבוססת-אישורים).
- לוחצים על OK.
- סוגרים את IAP Desktop ומפעילים אותו מחדש.
אם אתם משתמשים ב-Active Directory, אתם יכולים גם להגדיר אובייקט מדיניות קבוצתית כדי להפעיל באופן אוטומטי גישה מבוססת-אישורים למשתמשים.