設定以憑證為準的存取權
如要設定憑證式存取 (CBA),您必須建立新的 CBA 存取層級、強制執行 CBA 存取層級,並在用戶端應用程式中啟用 CBA。
事前準備
請確保所有需要存取 Google Cloud 資源的裝置,都已部署端點驗證 Chrome 擴充功能和端點驗證輔助應用程式。這些裝置會成為可授予存取權的信任裝置。請注意,工作負載或 Web 應用程式的 CBA 不需要端點驗證。
如要部署端點驗證,請參閱「部署端點驗證,搭配憑證式存取權使用」。
設定 CBA
如要設定 CBA,請完成下列步驟:
建立新的 CBA 存取層級,在判斷資源存取權時要求提供憑證。
使用下列任一方法,在資源上強制執行 CBA 存取層級:
- 建立具有 CBA 存取層級的 VPC Service Controls 範圍,然後將服務新增至範圍,即可限制存取 VPC Service Controls 支援的 Google Cloud服務。如需詳細操作說明,請參閱「透過 VPC Service Controls 啟用憑證式存取權」。
- 將 CBA 存取層級繫結至要限制存取權的使用者群組,即可限制存取所有 Google Cloud 服務,包括Google Cloud 控制台。如需詳細的操作說明,請參閱「透過使用者群組啟用憑證式存取權」。
- 限制 VM 的存取權。如需詳細的操作說明,請參閱「為 VM 啟用以憑證為基礎的存取權」。
- 限制網頁應用程式的存取權。如需詳細操作說明,請參閱「為網路應用程式啟用憑證式存取權」。
- 限制工作負載存取所有 Google Cloud 服務。 如需詳細操作說明,請參閱「為 Workload Identity Federation 設定以憑證為基礎的存取權」。
強制執行 CBA 後,系統會拒絕存取沒有用戶端憑證的資源。如要授予信任裝置存取權,請務必確保用戶端透過 mTLS 連線,將憑證正確傳送至 Google API。如要在 CBA 相容用戶端中啟用 CBA 功能,請按照「在用戶端應用程式中啟用憑證式存取權」一文中的程序操作。
後續步驟
- 瞭解如何透過以憑證為準的存取權限保護資源