הגדרת גישה שמבוססת על אישורים
כדי להגדיר בקרת גישה מבוססת-הקשר עם mTLS, שנקראת גם גישה מבוססת-אישורים (CBA), צריך ליצור רמת גישה חדשה של CBA, לאכוף את רמת הגישה של CBA ולהפעיל את CBA באפליקציות הלקוח.
לפני שמתחילים
מוודאים שהתוסף Endpoint Verification ל-Chrome ואפליקציית העזר Endpoint Verification פרוסים בכל המכשירים שנדרשת מהם גישה למשאבים של Google Cloud. המכשירים האלה הופכים למכשירים מהימנים שאפשר להעניק להם גישה.
שימוש ב-CBA עבור עומסי עבודה או אפליקציות אינטרנט לא מחייב אימות של נקודות קצה.
אם אתם צריכים לפרוס את Endpoint Verification, תוכלו לעיין במאמר פריסת Endpoint Verification לשימוש עם גישה מבוססת-אישורים.
הגדרת CBA
כדי להגדיר CBA, מבצעים את השלבים הבאים:
יוצרים רמת גישה חדשה של CBA שדורשת אישורים כדי לקבוע את הגישה למשאבים.
כדי לאכוף את רמת הגישה מבוססת-המאפיינים על משאב, משתמשים באחת מהשיטות הבאות:
כדי להגביל את הגישה לשירותים שנתמכים על ידי VPC Service Controls Google Cloud יוצרים אזור ב-VPC Service Controls עם רמת הגישה CBA, ואז מוסיפים שירותים לאזור. הוראות מפורטות זמינות במאמר הפעלת גישה מבוססת-אישורים באמצעות VPC Service Controls.
כדי להגביל את הגישה לכל השירותים של Google Cloud , כולל מסוףGoogle Cloud , צריך לקשר את רמת הגישה של CBA לקבוצת משתמשים שרוצים להגביל את הגישה שלה. הוראות מפורטות מופיעות במאמר בנושא הפעלת גישה מבוססת-אישורים באמצעות קבוצות משתמשים.
להגביל את הגישה למכונה הווירטואלית. הוראות מפורטות זמינות במאמר בנושא הפעלת גישה למכונות וירטואליות שמבוססת על אישורים.
הגבלת הגישה לאפליקציות האינטרנט. הוראות מפורטות מופיעות במאמר בנושא הפעלת גישה מבוססת-אישורים לאפליקציות אינטרנט.
להגביל את הגישה לכל השירותים של Google Cloud מתוך עומסי עבודה. הוראות מפורטות זמינות במאמר הגדרת גישה מבוססת-אישורים לאיחוד שירותי אימות הזהות של עומסי עבודה.
אחרי שמפעילים את CBA, הגישה למשאבים ללא אישורי לקוח נחסמת. כדי להעניק גישה למכשירים מהימנים, צריך לוודא שהלקוחות שולחים אישורים לממשקי ה-API של Google בצורה תקינה דרך חיבור mTLS. כדי לעשות את זה, צריך להפעיל את התכונה CBA בלקוח שתואם ל-CBA באמצעות ההליך שמתואר במאמר הפעלת גישה מבוססת-אישורים באפליקציות לקוח.