设置基于证书的访问权限

如需设置使用 mTLS 的情境感知访问权限（也称为基于证书的访问权限 [CBA]），您必须创建新的 CBA 访问权限级别、强制执行 CBA 访问权限级别，并在客户端应用中启用 CBA。

准备工作

确保在需要访问 Google Cloud资源的所有设备上部署端点验证 Chrome 扩展程序和端点验证辅助应用。这些设备会成为可信设备，您可以向其授予访问权限。

工作负载或 Web 应用的 CBA 不需要端点验证。

如果您需要部署端点验证，请参阅部署端点验证以用于基于证书的访问。

设置 CBA

如需设置 CBA，请完成以下步骤：

创建新的 CBA 访问权限级别，该级别要求在确定对资源的访问权限时需要证书。
使用以下方法之一对资源强制执行 CBA 访问权限级别：
- 通过创建具有 CBA 访问权限级别的 VPC Service Controls 边界，然后将服务添加到该边界中，来限制对 VPC Service Controls 支持的 Google Cloud服务的访问权限。如需详细了解相关说明，请参阅通过 VPC Service Controls 启用基于证书的访问权限。
- 通过将 CBA 访问权限级别绑定到您要限制访问权限的用户群组，限制对所有 Google Cloud 服务的访问权限，包括Google Cloud 控制台。如需查看详细说明，请参阅通过用户群组启用基于证书的访问权限。
- 限制对虚拟机的访问权限。如需了解详细说明，请参阅为虚拟机启用基于证书的访问权限。
- 限制对 Web 应用的访问权限。如需了解详细说明，请参阅为 Web 应用启用基于证书的访问权限。
- 限制工作负载对所有 Google Cloud 服务的访问权限。如需了解详细说明，请参阅为工作负载身份联合配置基于证书的访问权限。
强制执行 CBA 后，系统会拒绝没有客户端证书的资源访问请求。如需向受信任的设备授予访问权限，您必须确保客户端通过 mTLS 连接将证书正确发送到 Google API。为此，您可以使用在客户端应用中启用基于证书的访问权限中的步骤，在支持 CBA 的客户端中启用 CBA 功能。

后续步骤

了解如何使用基于证书的访问权限保护资源