証明書ベースのアクセスを設定する

証明書ベースのアクセス（CBA）とも呼ばれる mTLS でコンテキストアウェアアクセスを設定するには、新しい CBA アクセスレベルを作成し、CBA アクセスレベルを適用し、クライアントアプリケーションで CBA を有効にする必要があります。

始める前に

Google Cloudリソースへのアクセスが必要なすべてのデバイスに、Endpoint Verification Chrome 拡張機能と Endpoint Verification ヘルパーアプリがデプロイされていることを確認します。これらのデバイスは、アクセス権を付与できる信頼できるデバイスになります。

ワークロードまたはウェブアプリケーションの CBA には、Endpoint Verification は必要ありません。

Endpoint Verification をデプロイする必要がある場合は、証明書ベースのアクセスで使用する Endpoint Verification をデプロイするをご覧ください。

CBA を設定する

CBA を設定するには、次の操作を行います。

リソースへのアクセスを決定するときに証明書を必要とする新しい CBA アクセスレベルを作成します。
次のいずれかの方法で、リソースに CBA アクセスレベルを適用します。
- CBA アクセスレベルで VPC Service Controls 境界を作成し、境界にサービスを追加して、VPC Service Controls でサポートされている Google Cloudサービスへのアクセスを制限します。詳細な手順については、VPC Service Controls で証明書ベースのアクセスを有効にするをご覧ください。
- アクセスを制限するユーザーグループに CBA アクセスレベルをバインドすることにより、Google Cloud コンソールを含むすべての Google Cloud サービスへのアクセスを制限します。詳細な手順については、ユーザーグループを使用した証明書ベースのアクセスを有効にするをご覧ください。
- VM へのアクセスを制限します。詳細な手順については、VM の証明書ベースのアクセスを有効にするをご覧ください。
- ウェブアプリケーションへのアクセスを制限します。詳細な手順については、ウェブアプリケーションに対する証明書ベースのアクセスを有効にするをご覧ください。
- ワークロードからのすべての Google Cloud サービスへのアクセスを制限します。詳細な手順については、Workload Identity 連携の証明書ベースのアクセスを構成するをご覧ください。
CBA を適用すると、クライアント証明書のないリソースへのアクセスは拒否されます。信頼できるデバイスへのアクセス権を付与するには、クライアントが mTLS 接続を介して Google API に証明書を正しく送信していることを確認する必要があります。これを行うには、クライアントアプリケーションで証明書ベースのアクセスを有効にするの手順に沿って、CBA 対応クライアントで CBA 機能を有効にします。

次のステップ

証明書ベースのアクセスによるリソースの保護について学習する