Zertifikatbasierten Zugriff einrichten

Wenn Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) einrichten möchten, müssen Sie eine neue CBA-Zugriffsebene erstellen, die CBA-Zugriffsebene erzwingen und CBA in Ihren Clientanwendungen aktivieren.

Hinweise

Achten Sie darauf, dass die Chrome-Erweiterung „Endpunktprüfung“ und die Hilfsanwendung „Endpunktprüfung“ auf allen Geräten bereitgestellt werden, die Zugriff auf Google Cloud Ressourcen benötigen. Diese Geräte werden zu vertrauenswürdigen Geräten, denen Sie Zugriff gewähren können. Für die bedingte Zugriffssteuerung (Conditional Access, CBA) für Arbeitslasten oder Webanwendungen ist keine Endpunktprüfung erforderlich.

Wenn Sie die Endpunktprüfung bereitstellen müssen, lesen Sie den Hilfeartikel Endpunktprüfung zur Verwendung mit zertifikatbasiertem Zugriff bereitstellen.

CBA einrichten

So richten Sie die kundenbasierte Abrechnung ein:

Erstellen Sie eine neue CBA-Zugriffsebene, die Zertifikate erfordert, um den Zugriff auf Ressourcen zu bestimmen.
Erzwingen Sie die CBA-Zugriffsebene für eine Ressource mit einer der folgenden Methoden:
- Sie können den Zugriff auf von VPC Service Controls unterstützte Google Cloud-Dienste einschränken, indem Sie einen VPC Service Controls-Perimeter mit der Zugriffsebene „CBA“ erstellen und dann Dienste in den Perimeter einfügen. Eine detaillierte Anleitung finden Sie unter Zertifikatbasierten Zugriff mit VPC Service Controls aktivieren.
- Beschränken Sie den Zugriff auf alle Ihre Google Cloud -Dienste, einschließlich derGoogle Cloud -Konsole, indem Sie die CBA-Zugriffsebene an eine Nutzergruppe binden, für die Sie den Zugriff einschränken möchten. Eine detaillierte Anleitung finden Sie unter Zertifikatbasierter Zugriff mit Nutzergruppen.
- Zugriff auf Ihre VM einschränken Eine ausführliche Anleitung finden Sie unter Zertifikatbasierten Zugriff für VMs aktivieren.
- Zugriff auf Ihre Webanwendungen einschränken Eine ausführliche Anleitung finden Sie unter Zertifikatbasierten Zugriff für Webanwendungen aktivieren.
- Zugriff auf alle Ihre Google Cloud -Dienste über Arbeitslasten einschränken Eine ausführliche Anleitung finden Sie unter Zertifikatbasierten Zugriff für die Workload Identity-Föderation konfigurieren.
Nachdem Sie die clientbasierte Authentifizierung erzwungen haben, wird der Zugriff auf Ressourcen ohne Clientzertifikate verweigert. Wenn Sie Zugriff auf vertrauenswürdige Geräte gewähren möchten, müssen Sie dafür sorgen, dass Ihre Clients Zertifikate über eine mTLS-Verbindung korrekt an die Google-APIs senden. Dazu müssen Sie die CBA-Funktion in Ihrem CBA-kompatiblen Client aktivieren. Folgen Sie dazu der Anleitung unter Zertifikatbasierter Zugriff in Clientanwendungen.

Nächste Schritte

Weitere Informationen zum Sichern von Ressourcen mit zertifikatsbasiertem Zugriff