証明書ベースのアクセスを設定する
証明書ベースのアクセス(CBA)を設定するには、新しい CBA アクセスレベルを作成し、CBA アクセスレベルを適用し、クライアント アプリケーションで CBA を有効にする必要があります。
準備
Google Cloud リソースへのアクセスが必要なすべてのデバイスに、Endpoint Verification Chrome 拡張機能と Endpoint Verification ヘルパーアプリがデプロイされていることを確認します。これらは、アクセス権を付与できる信頼できるデバイスになります。
Endpoint Verification をデプロイする必要がある場合は、証明書ベースのアクセスで使用する Endpoint Verification のデプロイをご覧ください。
CBA を設定する
CBA を設定するには、次の操作を行います。
リソースへのアクセスを決定するときに証明書を必要とする新しい CBA アクセスレベルを作成します。
次のいずれかの方法で、リソースに CBA アクセスレベルを適用します。
- CBA アクセスレベルで VPC Service Controls 境界を作成し、境界にサービスを追加して、VPC Service Controls でサポートされている Google Cloud サービスへのアクセスを制限します。詳細な手順については、VPC Service Controls で証明書ベースのアクセスを有効にするをご覧ください。
- アクセスを制限するユーザー グループに CBA アクセスレベルをバインドすることにより、Google Cloud コンソールを含むすべての Google Cloud サービスへのアクセスを制限します。詳細な手順については、ユーザー グループを使用した証明書ベースのアクセスを有効にするをご覧ください。
CBA を適用すると、クライアント証明書のないリソースへのアクセスが拒否されます。信頼できるデバイスへのアクセス権を付与するには、クライアントが mTLS 接続を介して Google API に証明書を正しく送信していることを確認する必要があります。これを行うには、クライアント アプリケーションで証明書ベースのアクセスを有効にするの手順に沿って、CBA 対応クライアントで CBA 機能を有効にします。
次のステップ
- 証明書ベースのアクセスによるリソースの保護について学習する