Menyiapkan akses berbasis sertifikat
Untuk menyiapkan Akses Kontekstual dengan mTLS, yang juga dikenal sebagai akses berbasis sertifikat (CBA), Anda harus membuat tingkat akses CBA baru, menerapkan tingkat akses CBA, dan mengaktifkan CBA di aplikasi klien Anda.
Sebelum memulai
Pastikan ekstensi Chrome Verifikasi Endpoint dan aplikasi pendukung Verifikasi Endpoint di-deploy di semua perangkat yang memerlukan akses ke resource. Google CloudPerangkat ini menjadi perangkat tepercaya yang dapat Anda beri akses.
CBA untuk beban kerja atau aplikasi web tidak memerlukan Verifikasi Endpoint.
Jika Anda perlu men-deploy Verifikasi Endpoint, lihat Men-deploy Verifikasi Endpoint untuk digunakan dengan akses berbasis sertifikat.
Menyiapkan CBA
Untuk menyiapkan CBA, selesaikan langkah-langkah berikut:
Buat tingkat akses CBA baru yang memerlukan sertifikat saat menentukan akses ke resource.
Terapkan tingkat akses CBA pada resource menggunakan salah satu metode berikut:
Batasi akses ke layanan yang didukung Kontrol Layanan VPC Google Cloud dengan membuat perimeter Kontrol Layanan VPC dengan tingkat akses CBA, lalu menambahkan layanan ke perimeter. Untuk mengetahui petunjuk mendetail, lihat Mengaktifkan akses berbasis sertifikat dengan Kontrol Layanan VPC.
Batasi akses ke semua layanan Google Cloud Anda, termasuk konsol Google Cloud dengan mengikat tingkat akses CBA ke grup pengguna yang aksesnya ingin Anda batasi. Untuk mengetahui petunjuk mendetail, lihat Mengaktifkan akses berbasis sertifikat dengan grup pengguna.
Membatasi akses ke VM Anda. Untuk petunjuk mendetail, lihat Mengaktifkan akses berbasis sertifikat untuk VM.
Membatasi akses ke aplikasi web Anda. Untuk mengetahui petunjuk mendetail, lihat Mengaktifkan akses berbasis sertifikat untuk aplikasi web.
Membatasi akses ke semua layanan Google Cloud dari beban kerja. Untuk mengetahui petunjuk mendetail, lihat Mengonfigurasi akses berbasis sertifikat untuk Workload Identity Federation.
Setelah Anda menerapkan CBA, akses ke resource tanpa sertifikat klien akan ditolak. Untuk memberikan akses ke perangkat tepercaya, Anda harus memastikan bahwa klien Anda mengirimkan sertifikat dengan benar ke Google API melalui koneksi mTLS. Anda dapat melakukannya dengan mengaktifkan fitur CBA di klien yang kompatibel dengan CBA menggunakan prosedur di Mengaktifkan akses berbasis sertifikat di aplikasi klien.