本頁說明如何在用戶端應用程式中啟用憑證式存取權 (CBA),以便使用相容的程式庫或工具呼叫 Google API。
如要啟用 CBA 並允許 Google API 識別裝置,呼叫端用戶端必須與 Google API 建立 mTLS 連線,然後探索裝置上的 TLS 憑證。下圖說明瞭這個程序:
與 CBA 相容的用戶端
您可以在下列用戶端使用 CBA:
- Google Cloud 控制台 (Chrome)
- Google Cloud CLI 264.0.0 以上版本
- Terraform CLI 1.3.6 以上版本
- Google API 用戶端程式庫
- Python
- Go 語言
為 gcloud CLI 啟用 CBA
請使用者安裝或更新 gcloud CLI,確保他們使用的版本與 CBA 相容 (264.0.0 以上版本)。
如果使用者已安裝 Google Cloud CLI,可以執行下列指令,確認是否為 264.0.0 以上版本:
gcloud --version如有需要,使用者可以透過下列指令更新 Google Cloud CLI 版本:
gcloud components如要開始使用 CBA,使用者必須執行下列指令:
gcloud config set context_aware/use_client_certificate true
為 Terraform CLI 和 Google API 用戶端程式庫啟用 CBA
如要為 Terraform CLI 和 Google API 用戶端程式庫啟用 CBA,使用者必須設定下列環境變數:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
為 IAP Desktop 啟用 CBA
如要在 IAP Desktop 中啟用憑證式存取權,請執行下列操作:
- 在應用程式中,依序選取「工具」>「選項」。
- 選取「使用以憑證為依據的存取權,確保與 Google Cloud 的連線安全無虞」。
- 按一下 [確定]。
- 關閉 IAP Desktop,然後重新啟動。
如果您使用 Active Directory,也可以設定群組原則物件,為使用者自動啟用憑證式存取權。