Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
É possível usar o acesso baseado em certificado (CBA) para exigir certificados X.509 verificados para
acesso a Google Cloud recursos. A credencial extra fornece um sinal mais forte
da identidade do dispositivo e ajuda a proteger sua organização contra roubo de credenciais
ou perda acidental, exigindo que as credenciais do usuário e o
certificado do dispositivo original estejam presentes antes de conceder acesso.
Confiar apenas em credenciais, como tokens de portador, para conceder acesso às APIs e aos recursos Google Cloud
pode colocar você em risco. Essas credenciais podem ser expostas por erro do usuário
ou se tornar alvos principais de invasores. Se os invasores conseguirem as
credenciais, eles poderão usá-las para acessar recursos.
Ao usar a CBA, você aumenta a segurança dos seus recursos exigindo um
fator de autorização extra, um certificado de dispositivo. Os certificados do dispositivo são
validados e verificados usando um handshake TLS mútuo. Isso exige que os usuários
provem a posse da chave privada associada ao certificado, fornecendo
um indicador forte da identidade do dispositivo.
Confira a seguir uma ilustração de alto nível do fluxo de acesso do CBA:
Benefícios do uso do CBA do Google
Confira a seguir alguns dos benefícios do uso da CBA.
Segurança abrangente
Protege seus recursos importantes impedindo o acesso usando credenciais
roubadas de dispositivos não confiáveis, como o roubo de cookies.
Protege todas as solicitações de Google Cloud API, independentemente dos pontos de acesso,
incluindo redes locais ou do Google, além de navegadores da Web ou aplicativos de computador.
Controle de políticas granular
Funciona perfeitamente com os perímetros de serviço do VPC Service Controls e permite especificar
um controle de acesso detalhado sobre seus recursos.
Funciona perfeitamente com grupos de usuários e permite aplicar a CBA a um grupo de usuários.
Boa experiência do desenvolvedor
Suporte automatizado de CBA em bibliotecas e ferramentas comuns, como a
CLI gcloud, que reduz o custo de programação do uso de CBA.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[],[],null,["# Certificate-based access overview\n\nYou can use certificate-based access (CBA) to require verified X.509 certificates for\naccess to Google Cloud resources. The additional credential provides a stronger\nsignal of device identity and helps protect your organization from credential\ntheft or accidental loss by requiring that both the user credentials and the\noriginal device certificate are present before granting access.\n\nRelying only on credentials, like bearer tokens, to grant access to the Google Cloud\nAPIs and resources can put you at risk. Those credentials can be exposed by user\nerror or become prime targets for attackers. If attackers obtain the\ncredentials, they can replay the credentials to access resources.\n\nBy using CBA, you enhance the security of your resources by requiring an\nadditional authorization factor, a device certificate. Device certificates are\nvalidated and verified using a mutual TLS handshake. This requires users to\nprove possession of the private key associated with the certificate, thereby\nproviding a strong signal of device identity.\n\nFollowing is a high-level illustration of the CBA access flow:\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n### The benefits of using Google CBA\n\nFollowing are some of the benefits of using CBA.\n\nComprehensive Security\n: Protects your important resources by preventing access using stolen\n credentials from untrusted devices, such as cookie theft.\n: Protects all Google Cloud API requests regardless of access points,\n including on-premises or Google networks, and web browsers or desktops applications.\n\nFine-grained Policy Control\n: Works seamlessly with VPC Service Controls service perimeters and lets you to specify\n fine-grained access control over your resources.\n: Works seamlessly with user groups and lets you apply CBA to a group of users.\n\nGood Developer Experience\n: Automated CBA support in common libraries and tools, such as the\n gcloud CLI, which reduces the programming cost of using CBA.\n\nWhat's next\n-----------\n\n- [Understand mutual TLS at Google Cloud](/chrome-enterprise-premium/docs/understand-mtls)\n- [Set up certificate-based access](/chrome-enterprise-premium/docs/set-up-cba)"]]
