在用戶端應用程式中啟用憑證存取權

本頁說明如何在用戶端應用程式中啟用以憑證為基礎的存取權 (CBA)，以便使用相容的程式庫或工具呼叫 Google API。

如要啟用 CBA，並允許 Google API 識別裝置，呼叫端用戶端必須與 Google API 建立 mTLS 連線，然後在裝置上探索 TLS 憑證。下圖說明瞭這個程序：

與 CBA 相容的用戶端

您可以搭配下列用戶端使用 CBA：

• Google Cloud 控制台 (Chrome)
• Google Cloud CLI 264.0.0 以上版本
• Terraform CLI 1.3.6 以上版本
• Google API 用戶端程式庫
  • Python
  • Go 語言

為 gcloud CLI 啟用 CBA

1. 請使用者安裝或更新 gcloud CLI，確保他們使用的是可與 CBA 搭配運作的 264.0.0 以上版本。

   已安裝 Google Cloud CLI 的使用者，可以使用下列指令確認他們使用的是 264.0.0 以上版本：

   gcloud --version
   

   如有需要，使用者可以使用下列指令更新 Google Cloud CLI 版本：

   gcloud components
   

2. 如要開始使用 CBA，使用者必須執行下列指令：

   gcloud config set context_aware/use_client_certificate true
   

為 Terraform CLI 和 Google API 用戶端程式庫啟用 CBA

1. 如要為 Terraform CLI 和 Google API 用戶端程式庫啟用 CBA，使用者必須設定下列環境變數：

   export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
   

為 IAP Desktop 啟用 CBA

如要在 IAP Desktop 中啟用憑證存取權，請按照下列步驟操作：

1. 在應用程式中，依序選取「工具」 >「選項」。
2. 選取「使用以憑證為依據的存取權，確保與 Google Cloud 的連線安全無虞」。
3. 按一下 [確定]。
4. 關閉 IAP Desktop，然後重新啟動。

如果您使用的是 Active Directory，也可以設定群組政策物件，自動為使用者啟用以憑證為基礎的存取權。