本頁面由 Cloud Translation API 翻譯而成。

以憑證為準的存取權總覽

您可以使用憑證式存取權 (CBA)，要求使用者必須提供經過驗證的 X.509 憑證，才能存取 Google Cloud 資源。額外的憑證可提供更強的裝置身分信號，並要求使用者提供使用者憑證和原始裝置憑證，才能授予存取權，進而保護貴機構免於憑證遭竊或意外遺失。

如果您只依賴憑證 (例如權杖憑證) 來授予 Google CloudAPI 和資源的存取權，可能會發生風險。這些憑證可能會因使用者操作錯誤而曝光，或是成為攻擊者的首要目標。如果攻擊者取得憑證，就能重播憑證來存取資源。

使用 CBA 時，您必須提供額外的授權因素 (裝置憑證)，藉此強化資源安全性。裝置憑證會透過 mTLS 握手驗證及驗證。這項功能要求使用者證明自己擁有與憑證相關聯的私密金鑰，藉此提供強烈的裝置身分信號。

以下概略說明 CBA 存取流程：

以下是使用 CBA 的部分優點。

Comprehensive Security: 透過防止未經授權的裝置 (例如 Cookie 竊取) 使用遭竊的憑證，保護重要資源。; 無論存取點為何 (包括內部或 Google 網路，以及網路瀏覽器或電腦應用程式)，都能保護所有 Google Cloud API 要求。
精細的政策控制: 可與 VPC Service Controls 服務範圍無縫搭配運作，讓您指定資源的精細存取權控管。; 可與使用者群組完美搭配，讓您將 CBA 套用至一組使用者。
良好的開發人員體驗: 在常見的程式庫和工具 (例如 gcloud CLI) 中提供自動化 CBA 支援功能，以降低使用 CBA 的程式設計成本。

以憑證為準的存取權總覽 透過集合功能整理內容 你可以依據偏好儲存及分類內容。