設定以憑證為準的存取權

如要設定憑證式存取 (CBA)，您必須建立新的 CBA 存取層級、強制執行 CBA 存取層級，並在用戶端應用程式中啟用 CBA。

事前準備

請確保所有需要存取 Google Cloud 資源的裝置，都已部署端點驗證 Chrome 擴充功能和端點驗證輔助應用程式。這些裝置會成為可授予存取權的信任裝置。請注意，工作負載或 Web 應用程式的 CBA 不需要端點驗證。

如要設定 CBA，請完成下列步驟：

建立新的 CBA 存取層級，在判斷資源存取權時要求提供憑證。
使用下列任一方法，在資源上強制執行 CBA 存取層級：
- 建立具有 CBA 存取層級的 VPC Service Controls 範圍，然後將服務新增至範圍，即可限制存取 VPC Service Controls 支援的 Google Cloud服務。如需詳細操作說明，請參閱「透過 VPC Service Controls 啟用憑證式存取權」。
- 將 CBA 存取層級繫結至要限制存取權的使用者群組，即可限制存取所有 Google Cloud 服務，包括Google Cloud 控制台。如需詳細的操作說明，請參閱「透過使用者群組啟用憑證式存取權」。
- 限制 VM 的存取權。如需詳細的操作說明，請參閱「為 VM 啟用以憑證為基礎的存取權」。
- 限制網頁應用程式的存取權。如需詳細操作說明，請參閱「為網路應用程式啟用憑證式存取權」。
- 限制工作負載存取所有 Google Cloud 服務。如需詳細操作說明，請參閱「為 Workload Identity Federation 設定以憑證為基礎的存取權」。
強制執行 CBA 後，系統會拒絕存取沒有用戶端憑證的資源。如要授予信任裝置存取權，請務必確保用戶端透過 mTLS 連線，將憑證正確傳送至 Google API。如要在 CBA 相容用戶端中啟用 CBA 功能，請按照「在用戶端應用程式中啟用憑證式存取權」一文中的程序操作。