設定跨機構授權

本頁面概略說明跨機構授權功能，並提供設定步驟。

您可以使用 Chrome Enterprise Premium，允許機構內的裝置安全存取資料。這可確保在決定存取權時，裝置會根據機構的存取權政策進行評估。舉例來說，允許或拒絕其他機構的存取權，就是評估存取權政策時所考量的資訊之一。如果您需要貴機構的裝置存取其他機構的資源，則貴機構和其他機構必須設定跨機構授權。

跨機構授權可讓您設定存取政策，信任並使用其他機構擁有的資料 (例如裝置屬性)。舉例來說，您可以設定貴機構的存取權政策，允許其他機構的裝置存取其資源。

事前準備

如要設定及管理跨機構授權，您需要貴機構的機構 ID，以及要授權的機構 ID。您也需要提供機構層級政策編號。如果您沒有機構 ID 或機構層級政策編號，請參閱以下資訊：

• 取得機構資源 ID
• 取得機構層級存取政策編號

設定及管理跨機構授權時，您會使用 AuthorizedOrgsDesc 資源。AuthorizedOrgsDesc 資源包含您要授權的機構清單，並指定授權類型、資產類型和機構的授權方向。

您可以使用 Google Cloud CLI 建立 AuthorizedOrgsDesc 資源，並修改相關設定。使用 AuthorizedOrgsDesc 資源時，適用下列規定：

• ASSET_TYPE_DEVICE 是素材資源類型唯一可用的選項。
• AUTHORIZATION_TYPE_TRUST 是授權類型唯一可用的選項。

設定兩個機構之間的跨機構裝置授權

本節將透過範例說明如何設定跨機構授權。

這個範例會在兩個機構之間建立雙向授權關係，並允許一個機構的裝置存取另一機構的資源。資源組織 (organizations/RESOURCE_ORG_ID) 包含 Cloud Storage 值區和 VM 等資源。資源機構具有存取層級，可讓機構中的特定裝置存取其資源。合作夥伴機構 (organizations/PARTNER_ORG_ID) 是指需要存取資源機構中的資源的機構。

以下是設定跨機構授權前，資源和合作夥伴機構的政策：

資源機構 (organizations/RESOURCE_ORG_ID)：

access policy:
access level: SP1
  --"requireScreenlock": true

合作夥伴機構 (organizations/PARTNER_ORG_ID)：

no access policy

在下圖中，由於未設定跨機構授權，因此資源機構無法查看合作夥伴機構中的裝置屬性。

下列步驟說明如何使用 Google Cloud CLI 設定資源機構和合作夥伴機構，以便啟用跨機構授權。

準備

請為資源和合作夥伴機構完成本節中的步驟。

1. 請確認雙方機構都設有機構層級政策。如要建立機構層級政策，請參閱「建立機構層級存取權政策」。

2. 執行下列指令，取得組織層級存取權政策編號：

   gcloud access-context-manager policies list --organization=ORG_ID
   

   將 ORG_ID 替換為您的機構 ID。

   您應該會收到以下格式的資訊：

   NAME                    ORGANIZATION SCOPES     TITLE     ETAG
   <ACCESS_POLICY_NUMBER>  <ORGANIZATION_NUMBER>   A title   002cb3fbfde471e7
   

設定資源組織

1. 您必須是資源機構 (organizations/RESOURCE_ORG_ID) 管理員，才能完成這項步驟。請執行下列指令，為資源組織建立 AuthorizedOrgsDesc 資源：

   gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
    --authorization_type=AUTHORIZATION_TYPE_TRUST \
    --asset_type=ASSET_TYPE_DEVICE \
    --authorization_direction=AUTHORIZATION_DIRECTION_FROM \
    --orgs=organizations/PARTNER_ORG_ID \
    --policy=ACCESS_POLICY_NUMBER
   

   更改下列內容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須是英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個半形字元。

   • ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

   • PARTNER_ORG_ID：合作夥伴機構編號。

2. 執行下列指令，即可顯示新建立的 AuthorizedOrgsDesc 資源，並確認其是否正確：

   gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
    --policy=ACCESS_POLICY_NUMBER
   

   更改下列內容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須是英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個半形字元。

   • ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

設定合作夥伴機構

1. 您必須是合作夥伴機構 (organizations/PARTNER_ORG_ID) 管理員，才能完成這個步驟。請執行下列指令，為合作夥伴機構建立 AuthorizedOrgsDesc 資源：

   gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME \
     --authorization_type=AUTHORIZATION_TYPE_TRUST \
     --asset_type=ASSET_TYPE_DEVICE \
     --authorization_direction=AUTHORIZATION_DIRECTION_TO \
     --orgs=organizations/RESOURCE_ORG_ID \
     --policy=ACCESS_POLICY_NUMBER
   

   更改下列內容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須是英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個半形字元。

   • ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

   • RESOURCE_ORG_ID：資源組織編號。

2. 執行下列指令，即可顯示新建立的 AuthorizedOrgsDesc 資源，並確認其正確無誤：

   gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
     --policy=ACCESS_POLICY_NUMBER
   

   更改下列內容：

   • AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須是英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個半形字元。

   • ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

預期的設定後政策

設定跨機構授權後，資源和合作夥伴機構的政策如下：

資源機構 (organizations/RESOURCE_ORG_ID)：

access policy:
access level: SP1
  --"requireScreenlock": true
AuthorizedorgsDesc: AOD1
  --authorizationtype: trust
  --asset type: device
  --authorization direction: from
  --orgs: [organizations/PARTNER_ORG_ID]

合作夥伴機構 (organizations/PARTNER_ORG_ID)：

access policy:
AuthorizedOrgsDesc: AOD2
  --authorizationtype: trust
  --asset type: device
  --authorization direction: to
  --orgs: [organizations/RESOURCE_ORG_ID]

下圖顯示設定跨機構授權後，合作夥伴機構的裝置屬性可見度。

測試您的設定

設定這兩個機構後，您可以讓合作夥伴機構中的使用者嘗試使用相容的裝置存取資源機構中的資源。如果已授予存取權，跨機構授權就能正常運作。合作夥伴機構的使用者現在只能在使用者裝置設有螢幕鎖定政策的情況下，存取資源機構的 Cloud Storage 中的值區 A。

如果裝置未授予存取權，請再次完成設定步驟來修正設定。

管理跨組織授權設定

設定跨機構授權後，您可能需要移除機構存取權、新增其他機構的存取權，或執行其他工作。本節提供管理跨機構授權時，如何完成常見工作任務的相關資訊。

建立 AuthorizedOrgsDesc 資源並授權外部機構

如要建立 AuthorizedOrgsDesc 資源，並納入要授予存取權的外部機構，請執行下列指令：

gcloud access-context-manager authorized-orgs create AUTHORIZED_ORGS_DESC_NAME
 --authorization_type=AUTHORIZATION_TYPE_TRUST
 --asset_type=ASSET_TYPE_DEVICE
 --authorization_direction=AUTHORIZATION_DIRECTION_FROM
 --orgs=ORG_ID --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ORG_ID：您要授予存取權的機構 ID。如要指定多個機構，請使用半形逗號分隔機構 ID。

• ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

新增機構

如要在現有的 AuthorizedOrgsDesc 資源中新增機構，請執行下列指令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --add-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ORG_ID：您要授予存取權的機構 ID。如要指定多個機構，請使用半形逗號分隔機構 ID。

• ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

移除機構

如要從現有 AuthorizedOrgsDesc 資源中移除組織，請執行下列指令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --remove-orgs=ORG_ID \
  --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ORG_ID 您要移除的機構 ID。

• ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

指定新的機構清單

如要在現有的 AuthorizedOrgsDesc 資源中指定新的機構清單，請執行下列指令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --set-orgs=ORG_IDS \
  --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ORG_ID：您要授予存取權的機構 ID。如要指定多個機構，請使用半形逗號分隔機構 ID。

• ACCESS_POLICY_NUMBER：機構層級存取權政策編號。

移除所有機構

如要從現有 AuthorizedOrgsDesc 資源中移除所有機構，請執行下列指令：

gcloud access-context-manager authorized-orgs update AUTHORIZED_ORGS_DESC_NAME \
  --clear-orgs --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ACCESS_POLICY_NUMBER 機構層級存取權政策編號。

顯示 AuthorizedOrgsDesc 資源

如要顯示現有的 AuthorizedOrgsDesc 資源，請執行下列指令：

gcloud access-context-manager authorized-orgs describe AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ACCESS_POLICY_NUMBER 機構層級存取權政策編號。

列出 AuthorizedOrgsDesc 資源

如要列出存取權政策中的 AuthorizedOrgsDesc 資源，請執行下列指令：

gcloud access-context-manager authorized-orgs list --policy=ACCESS_POLICY_NUMBER

將 ACCESS_POLICY_NUMBER 替換為機構層級存取政策編號。

移除 AuthorizedOrgsDesc 資源

如要移除 AuthorizedOrgsDesc 資源，請執行下列指令：

gcloud access-context-manager authorized-orgs delete  AUTHORIZED_ORGS_DESC_NAME \
  --policy=ACCESS_POLICY_NUMBER

更改下列內容：

• AUTHORIZED_ORGS_DESC_NAME：AuthorizedOrgsDesc 資源的專屬名稱。名稱開頭必須為英文字母，且只能使用英文字母、數字和底線。名稱長度上限為 50 個字元。

• ACCESS_POLICY_NUMBER 機構層級存取權政策編號。