Auf dieser Seite werden die Voraussetzungen für die Konfiguration des ausgehenden Proxys beschrieben. Außerdem erfahren Sie, wie Sie Organisations-ID, fügen Sie den Header für Organisationseinschränkungen hinzu und konfigurieren Sie den Proxy durch die Liste der Ziel-URLs.
Google Cloud-Administratoren, die Google Cloud verwalten, und Proxy-Administratoren für ausgehenden Traffic die den ausgehenden Proxy konfigurieren, müssen bei der Konfiguration von Organisationseinschränkungen zusammenarbeiten. Informationen zu Partnerlösungen, die mit Organisationseinschränkungen validiert wurden, finden Sie unter Validierte Partnerlösungen.
Hinweis
Wenn Sie ein Administrator für einen ausgehenden Proxy sind, müssen Sie die folgenden Voraussetzungen erfüllen, bevor Sie den ausgehenden Proxy so konfigurieren, dass der Header „Organization Restrictions“ hinzugefügt wird:
Wenn sich die Rollen „Google Cloud-Administrator“ und „Proxy für ausgehenden Traffic“ unterscheiden muss der Google Cloud-Administrator mit den Administrator für ausgehenden Traffic, um den Proxy für ausgehenden Traffic zu konfigurieren.
Konfigurieren Sie die Firewallregeln Ihrer Organisation oder die verwalteten Geräte so, dass der ausgehende Traffic aller Nutzer in Ihrer Organisation den Ausstiegsproxy passiert.
Achten Sie darauf, dass der ausgehende Proxy in Ihrer Organisation die folgenden Features hat:
- Kopfzeilen einfügen: Fügt einen benutzerdefinierten HTTP-Header in den ausgehenden HTTP-Header ein Anfragen, die den ausgehenden Proxy durchlaufen.
- TLS-Prüfung Wenn der Traffic zum Ausgangproxy verschlüsselt ist, muss der Ausgangproxy die Pakete entschlüsseln, den Header einfügen und das Paket noch einmal verschlüsseln, bevor es an das Ziel gesendet wird.
Filtern und Kopfzeilen einfügen Optional. Unterstützen Sie eines oder mehrere der folgenden Produkte filtert und fügen Sie den Header dann nur für Anfragen hinzu, die der Filterbedingung entsprechen:
- Ziel-URLs: Eine Liste von Ziel-URLs, mit denen der Ausgangproxy übereinstimmen kann.
- Geräte-IDs: Eine Liste von Geräte-IDs, mit denen der Proxy für ausgehenden Traffic übereinstimmen kann. Die Geräte-IDs müssen an den Ausgangproxy übertragen werden.
- User-IDs: Eine Liste von Nutzer-IDs, die mit dem Ausstiegsproxy abgeglichen werden können. Die Nutzer-IDs müssen an den Ausgangproxy weitergegeben werden.
Organisations-ID abrufen
Als Google Cloud-Administrator müssen Sie die Google Cloud-Organisations-ID abrufen, damit sie der Überschrift für die Organisationseinschränkungen hinzugefügt werden kann.
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Mit diesem Befehl werden alle Organisationsressourcen aufgelistet, zu denen Sie gehören, sowie deren zugehörigen Organisationsressourcen-IDs.
Nachdem Sie die Organisations-ID abgerufen haben, können Sie entweder die Organisationseinschränkungen hinzufügen oder bitten Sie den Administrator des ausgehenden Proxy-Servers, den Header hinzuzufügen.
Header für Organisationseinschränkungen hinzufügen
Gehen Sie als Proxy-Administrator für ausgehenden Traffic so vor, um ausgehenden Anfragen den Header für Organisationsbeschränkungen hinzuzufügen:
- Erstellen Sie die Überschrift.
- Codieren Sie den Header.
- Konfigurieren Sie den ausgehenden Proxy.
Header erstellen
Erstellen Sie die JSON-Darstellung für den Header im folgenden Format:
X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE enthält eine durch Kommas getrennte Liste der autorisierten Google Cloud-Organisations-IDs. Der Wert muss dann websicher mit Base64 codiert werden.
HEADER_VALUE hat die folgende JSON-Struktur:
{
"resources": [string,..],
"options": string
}
resources: Eine Liste von Strings. Jeder String in dieser Liste muss auf eine Google Cloud verweisen Organisations-ID. Organisations-IDs in dieser Liste gelten als autorisierte Organisationen während der Bewertung.options: Ein String, der einen der folgenden Werte enthält:"strict". Der Abschnitt „Einschränkungen für Organisationen“ wird für alle Anfragetypen an die unterstützten Google Cloud-Dienste erzwungen."cloudStorageReadAllowed": Leseanfragen an Cloud Storage werden zugelassen, aber der Abschnitt „Einschränkungen der Organisation“ wird für alle Anfragetypen an die unterstützten Google Cloud-Dienste erzwungen. Diese Option ermöglicht Zugriff auf den folgenden Cloud Storage Lesevorgänge:storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.buckets.getstorage.buckets.liststorage.buckets.getIamPolicy
Zur Veranschaulichung dieser Option betrachten wir ein Beispiel, in dem Alex der Administrator der Beispielorganisation ist und Lee ein Mitarbeiter dieser Organisation. Angenommen, es gibt eine Website wie altostrat.com, auf der statische Inhalte in öffentlichen Cloud Storage-Buckets gespeichert werden und die nicht zu „Beispiel-Organisation“ gehört. Wenn Alex die Option strict verwendet, um den Zugriff von Lee nur auf die Beispielorganisation zu beschränken, wird Lee der Zugriff auf statische Inhalte in altostrat.com verweigert, die sich in öffentlichen Cloud Storage-Buckets befinden, die zu altostrat.com gehören. Dieses Verhalten wirkt sich auf die Möglichkeit von Lee aus, die Website effektiv zu durchsuchen. Dasselbe Verhalten tritt bei jeder Website auf, die statische Inhalte in öffentlichem Cloud Storage speichert.
Um Lee die Anzeige der statischen Inhalte auf altostrat.com zu ermöglichen
und schränken alle anderen Google Cloud-Zugriffe nur auf die Beispielorganisation ein,
Alex verwendet die Option cloudStorageReadAllowed.
Hier ein Beispiel für einen gültigen Header für Organisationsbeschränkungen:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Header codieren
Die Organisations-IDs müssen im websicheren Base64-Format codiert werden. Die Codierung muss den Spezifikationen von RFC 4648 Abschnitt 5 entsprechen.
Wenn die JSON-Darstellung für den Headerwert beispielsweise im
authorized_orgs.json-Datei verwenden, führen Sie zum Codieren der Datei folgenden Befehl aus:
basenc-Befehl:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Hier ist ein Beispiel für einen Header nach der Codierung der Organisations-ID:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Ausgehenden Proxy konfigurieren
Um den Header in Anfragen einzufügen, die von den verwalteten Geräten stammen, konfigurieren Sie den Proxy für ausgehenden Traffic.
Wenn ein Google Cloud-Nutzer in Ihrer Organisation explizit einen HTTP-Header angibt, müssen die vom Nutzer angegebenen Werte vom Ausstiegsproxy durch die vom Google Cloud-Administrator angegebenen Werte überschrieben werden.
Konfigurieren Sie den ausgehenden Traffic, um zu verhindern, dass dieser Header Zielen außerhalb von Google Cloud hinzugefügt wird Proxy, um den Header für Organisationseinschränkungen nur Anfragen mit den folgenden Zielen hinzuzufügen:
*.google.com*.googleapis.com*.gcr.io*.pkg.dev*.cloudfunctions.net*.run.app*.tunnel.cloudproxy.app*.datafusion.googleusercontent.com
Informationen zu Fehlermeldungen, die aufgrund von Verstößen gegen Organisationsbeschränkungen auftreten, finden Sie unter Fehlermeldungen.