設定以憑證為準的存取權
如要使用 mTLS 設定情境感知存取權 (也稱為憑證式存取權 (CBA)),請建立新的 CBA 存取層級、強制執行 CBA 存取層級,並在用戶端應用程式中啟用 CBA。
事前準備
請確保所有需要存取 Google Cloud資源的裝置,都已部署端點驗證 Chrome 擴充功能和端點驗證輔助應用程式。這些裝置會成為可授予存取權的信任裝置。
工作負載或 Web 應用程式的 CBA 不需要端點驗證。
如要部署端點驗證,請參閱「部署端點驗證,搭配憑證式存取權使用」。
設定 CBA
如要設定 CBA,請完成下列步驟:
建立新的 CBA 存取層級,在判斷資源存取權時要求提供憑證。
使用下列任一方法,在資源上強制執行 CBA 存取層級:
建立具有 CBA 存取層級的 VPC Service Controls 範圍,然後將服務新增至範圍,即可限制存取 VPC Service Controls 支援的 Google Cloud服務。如需詳細操作說明,請參閱「透過 VPC Service Controls 啟用憑證式存取權」。
將 CBA 存取層級繫結至要限制存取權的使用者群組,即可限制存取所有 Google Cloud 服務,包括Google Cloud 控制台。如需詳細的操作說明,請參閱「透過使用者群組啟用憑證式存取權」。
限制 VM 的存取權。如需詳細的操作說明,請參閱「為 VM 啟用以憑證為基礎的存取權」。
限制網頁應用程式的存取權。如需詳細操作說明,請參閱「為網路應用程式啟用憑證式存取權」。
限制工作負載存取所有 Google Cloud 服務。如需詳細操作說明,請參閱「為 Workload Identity Federation 設定以憑證為基礎的存取權」。
強制執行 CBA 後,系統會拒絕存取沒有用戶端憑證的資源。如要授予信任裝置存取權,請務必確保用戶端透過 mTLS 連線,將憑證正確傳送至 Google API。如要在 CBA 相容用戶端中啟用 CBA 功能,請按照「在用戶端應用程式中啟用憑證式存取權」一文中的程序操作。
後續步驟
- 瞭解如何透過以憑證為準的存取權限保護資源