Nesta página, você encontra uma visão geral de alto nível do recurso de autorização em várias organizações e as etapas para configurá-lo.
É possível usar o BeyondCorp Enterprise para permitir o acesso seguro aos dados a partir de dispositivos em uma organização. Isso garante que os dispositivos sejam avaliados em relação à política de acesso da organização nos pontos de aplicação ao determinar o acesso. Por exemplo, permitir ou negar o acesso de outra organização é uma informação na política de acesso que é avaliada. Se você precisa que os dispositivos na sua organização acessem recursos em outra organização, sua organização e a outra precisam ter a autorização entre organizações configurada.
A autorização entre organizações permite que você configure uma política de acesso para confiar e usar dados, como atributos de dispositivo, de propriedade de outras organizações. Por exemplo, é possível configurar a política de acesso da sua organização para permitir o acesso aos recursos dela a partir de dispositivos em outras organizações.
Antes de começar
Para configurar e gerenciar a autorização entre organizações, você precisa dos códigos da sua organização e dos códigos das organizações que quer autorizar. Você também precisa do número da política no nível da organização. Se você não tiver os IDs da organização ou o número da política no nível da organização, consulte as seguintes informações:
- Como conseguir o código do recurso da organização
- Gerar o número da política de acesso no nível da organização
Ao configurar e gerenciar a autorização entre organizações, você trabalha com o recurso AuthorizedOrgsDesc. O recurso AuthorizedOrgsDesc contém a lista de organizações que você quer autorizar e especifica o tipo de autorização, o tipo de recurso e a direção da autorização para as organizações.
Use a Google Cloud CLI para criar um recurso AuthorizedOrgsDesc e modificar as configurações. Ao trabalhar com o recurso AuthorizedOrgsDesc, o seguinte se aplica:
ASSET_TYPE_DEVICEé a única opção disponível para o tipo de recurso.AUTHORIZATION_TYPE_TRUSTé a única opção disponível para o tipo de autorização.
Configurar a autorização de dispositivos entre organizações entre duas organizações
Nesta seção, você verá as etapas para configurar a autorização entre organizações usando um exemplo em todas as etapas.
Este exemplo cria uma relação de autorização bidirecional entre duas organizações e permite que dispositivos de uma organização acessem recursos em outra. A organização de recursos (organizations/RESOURCE_ORG_ID) contém recursos como buckets e VMs do Cloud Storage. A organização de recursos tem níveis de acesso que permitem que dispositivos específicos acessem os recursos. A organização do parceiro (organizations/PARTNER_ORG_ID) é uma organização que precisa acessar recursos na organização de recursos.
Veja a seguir as políticas das organizações de recursos e parceiros antes da configuração da autorização entre organizações:
Organização do recurso (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
Organização parceira (organizações/PARTNER_ORG_ID):
no access policy
Na imagem a seguir, os atributos do dispositivo na organização do parceiro não são visíveis para a organização do recurso porque a autorização entre organizações não está configurada.
As etapas a seguir mostram como configurar a organização do recurso e a organização do parceiro para ativar a autorização entre organizações usando a Google Cloud CLI.
Preparar
Conclua as etapas nesta seção para o recurso e as organizações parceiras.
Verifique se as duas organizações têm uma política no nível da organização. Para criar uma política da organização, consulte Criar uma política de acesso no nível da organização.
Execute o seguinte comando para ver o número da política de acesso no nível da organização:
gcloud access-context-manager policies list --organization=ORG_ID
SubstituaORG_ID pelo ID da organização.
Você receberá informações no seguinte formato:
NAME ORGANIZATION SCOPES TITLE ETAG <ACCESS_POLICY_NUMBER> <ORGANIZATION_NUMBER> A title 002cb3fbfde471e7
Configurar a organização de recursos
Você precisa ser o administrador da organização de recursos (
organizations/RESOURCE_ORG_ID) para concluir esta etapa. Crie um recursoAuthorizedOrgsDescpara a organização de recursos executando o seguinte comando:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_FROM \ --orgs=organizations/PARTNER_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
PARTNER_ORG_ID: o número da organização do parceiro.
Exiba o recurso
AuthorizedOrgsDescrecém-criado para verificar se ele está correto, executando o seguinte comando:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Configurar a organização parceira
Você precisa ser o administrador da organização do parceiro (
organizations/PARTNER_ORG_ID) para concluir esta etapa. Crie um recursoAuthorizedOrgsDescpara a organização de parceiro executando o seguinte comando:gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \ --authorization_type=AUTHORIZATION_TYPE_TRUST \ --asset_type=ASSET_TYPE_DEVICE \ --authorization_direction=AUTHORIZATION_DIRECTION_TO \ --orgs=organizations/RESOURCE_ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
RESOURCE_ORG_ID: o número da organização do recurso.
Exiba o recurso
AuthorizedOrgsDescrecém-criado para verificar se ele está correto, executando o seguinte comando:gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Políticas de pós-configuração esperadas
Veja a seguir as políticas das organizações de recursos e parceiros após a configuração da autorização entre organizações:
Organização do recurso (organizations/RESOURCE_ORG_ID):
access policy:
access level: SP1
--"requireScreenlock": true
AuthorizedorgsDesc: AOD1
--authorizationtype: trust
--asset type: device
--authorization direction: from
--orgs: [organizations/PARTNER_ORG_ID]
Organização parceira (organizações/PARTNER_ORG_ID):
access policy:
AuthorizedOrgsDesc: AOD2
--authorizationtype: trust
--asset type: device
--authorization direction: to
--orgs: [organizations/RESOURCE_ORG_ID]
A imagem a seguir mostra a visibilidade dos atributos do dispositivo da organização do parceiro após a configuração da autorização entre organizações.
Testar a configuração
Depois de configurar as duas organizações, é possível fazer com que um usuário da organização parceira tente acessar recursos na organização de recursos usando um dispositivo compatível. Se o acesso for concedido, sua autorização para várias organizações funcionará conforme o esperado. Os usuários na organização do parceiro agora podem acessar o bucket A no Cloud Storage da organização de recursos somente se o dispositivo do usuário tiver uma política de bloqueio de tela em vigor.
Se o dispositivo não tiver acesso, siga as etapas de configuração novamente para corrigir a configuração.
Gerenciar uma configuração de autorização para várias organizações
Depois de configurar a autorização entre organizações, talvez seja necessário remover o acesso a uma organização, adicionar acesso a outra organização ou realizar outras tarefas. Esta seção contém informações sobre como concluir tarefas comuns ao gerenciar a autorização entre organizações.
Criar um recurso AuthorizedOrgsDesc e autorizar organizações externas
Para criar um recurso AuthorizedOrgsDesc e incluir as organizações externas a que você quer conceder acesso, execute o seguinte comando:
gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME --authorization_type=AUTHORIZATION_TYPE_TRUST --asset_type=ASSET_TYPE_DEVICE --authorization_direction=AUTHORIZATION_DIRECTION_FROM --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ORG_ID: o ID da organização a que você quer conceder acesso. Ao especificar mais de uma organização, use uma vírgula para separar os códigos delas.
ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Adicionar uma organização
Para adicionar uma organização a um recurso AuthorizedOrgsDesc atual, execute o seguinte comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --add-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ORG_ID: o ID da organização a que você quer conceder acesso. Ao especificar mais de uma organização, use uma vírgula para separar os códigos delas.
ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Remover uma organização
Para remover uma organização de um recurso AuthorizedOrgsDesc atual, execute o seguinte comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --remove-orgs=ORG_ID \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ORG_ID o código da organização que você quer remover.
ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Especificar uma nova lista de organizações
Para especificar uma nova lista de organizações em um recurso AuthorizedOrgsDesc atual, execute o seguinte comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --set-orgs=ORG_IDS \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ORG_ID: o ID da organização a que você quer conceder acesso. Ao especificar mais de uma organização, use uma vírgula para separar os códigos delas.
ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Remover todas as organizações
Para remover todas as organizações de um recurso AuthorizedOrgsDesc atual, execute o seguinte comando:
gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \ --clear-orgs --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Exibir um recurso AuthorizedOrgsDesc
Para exibir um recurso AuthorizedOrgsDesc existente, execute o seguinte comando:
gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.
Listar os recursos AuthorizedOrgsDesc
Para listar os recursos AuthorizedOrgsDesc na política de acesso, execute o seguinte comando:
gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER
Substitua ACCESS_POLICY_NUMBER pelo número da política de acesso no nível da organização.
Remover um recurso AuthorizedOrgsDesc
Para remover um recurso AuthorizedOrgsDesc, execute o seguinte comando:
gcloud access-context-manager authorized-orgs delete AUTHORIZED_ORGS_DESC_NAME \ --policy=ACCESS_POLICY_NUMBER
Substitua:
AUTHORIZED_ORGS_DESC_NAME: um nome exclusivo para o recurso
AuthorizedOrgsDesc. O nome precisa começar com uma letra e conter apenas letras, números e sublinhados. O nome pode ter no máximo 50 caracteres.ACCESS_POLICY_NUMBER: o número da política de acesso no nível da organização.