Auf dieser Seite werden die Voraussetzungen für die Konfiguration des ausgehenden Proxys beschrieben. Außerdem erfahren Sie, wie Sie die Organisations-ID abrufen, die Kopfzeile für Organisationseinschränkungen hinzufügen und den Proxy mit der Liste der Ziel-URLs konfigurieren.
Google Cloud Administratoren, die Google Cloudund Administratoren des ausgehenden Proxys, die den ausgehenden Proxy konfigurieren, müssen zusammenarbeiten, um Organisationseinschränkungen zu konfigurieren. Informationen zu Partnerlösungen, die mit Organisationseinschränkungen validiert wurden, finden Sie unter Validierte Partnerlösungen.
Hinweis
Wenn Sie ein Administrator für einen ausgehenden Proxy sind, müssen Sie die folgenden Voraussetzungen erfüllen, bevor Sie den ausgehenden Proxy so konfigurieren, dass der Header „Organization Restrictions“ hinzugefügt wird:
Wenn die Rollen Google Cloud Administrator und Administrator für den Ausstiegsproxy in Ihrer Organisation unterschiedlich sind, muss der Google Cloud Administrator den Administrator für den Ausstiegsproxy bitten, den Ausstiegsproxy zu konfigurieren.
Konfigurieren Sie die Firewallregeln Ihrer Organisation oder die verwalteten Geräte so, dass der ausgehende Traffic aller Nutzer in Ihrer Organisation den Ausstiegsproxy durchläuft.
Der Ausgangproxy in Ihrer Organisation muss die folgenden Funktionen haben:
- Fügen Sie Header ein. Fügen Sie ausgehenden Anfragen, die den Ausstiegsproxy durchlaufen, einen benutzerdefinierten HTTP-Header ein.
- TLS-Prüfung Wenn der Traffic zum Ausgangsproxy verschlüsselt ist, muss der Ausgangsproxy die Pakete entschlüsseln, den Header einfügen und das Paket noch einmal verschlüsseln, bevor es an das Ziel gesendet wird.
Filtern und Kopfzeilen einfügen Optional. Unterstützen Sie einen oder mehrere der folgenden Filter und fügen Sie den Header dann nur für Anfragen hinzu, die mit der Filterbedingung übereinstimmen:
- Ziel-URLs: Eine Liste von Ziel-URLs, mit denen der Ausgangproxy übereinstimmen kann.
- Geräte-IDs Eine Liste von Geräte-IDs, die mit dem ausgehenden Proxy abgeglichen werden können. Die Geräte-IDs müssen an den Ausgangproxy übertragen werden.
- User-IDs Eine Liste von Nutzer-IDs, die mit dem Ausstiegsproxy abgeglichen werden können. Die Nutzer-IDs müssen an den Ausgangproxy weitergegeben werden.
Organisations-ID abrufen
Als Google Cloud Administrator müssen Sie die Google CloudOrganisations-ID abrufen, damit sie dem Abschnitt „Einschränkungen für Organisationen“ hinzugefügt werden kann.
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Mit diesem Befehl werden alle Organisationsressourcen aufgelistet, zu denen Sie gehören, sowie die entsprechenden Organisationsressourcen-IDs.
Nachdem Sie die Organisations-ID erhalten haben, können Sie den Abschnitt „Organisationsbeschränkungen“ entweder selbst hinzufügen oder den Administrator des ausgehenden Proxys bitten, dies zu tun.
Header für Einschränkungen für Organisationen hinzufügen
So fügen Sie als Administrator eines ausgehenden Proxys den Header „Organization Restrictions“ (Organisationseinschränkungen) zu ausgehenden Anfragen hinzu:
- Erstellen Sie die Überschrift.
- Codieren Sie den Header.
- Konfigurieren Sie den ausgehenden Proxy.
Kopfzeile erstellen
Erstellen Sie die JSON-Darstellung für den Header im folgenden Format:
X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE enthält eine durch Kommas getrennte Liste der autorisierten Google Cloud
Organisations-IDs. Der Wert muss dann mit der websicheren Base64-Codierung codiert werden.
HEADER_VALUE hat die folgende JSON-Struktur:
{
"resources": [string,..],
"options": string
}
resources: Eine Liste von Strings. Jeder String in dieser Liste muss sich auf eine Google Cloud-Organisations-ID beziehen. Organisations-IDs in dieser Liste gelten bei der Prüfung als autorisierte Organisationen.options: Ein String, der einen der folgenden Werte enthält:"strict". Erzwingt den Header „Organisationsbeschränkungen“ für alle Anfragetypen an die unterstützten Google Cloud Dienste."cloudStorageReadAllowed": Leseanfragen an Cloud Storage werden zugelassen, aber der Abschnitt „Organisationsbeschränkungen“ wird für alle Anfragetypen an die unterstützten Google Cloud Dienste erzwungen. Mit dieser Option wird der Zugriff für die folgenden Cloud Storage-Lesevorgänge gewährt:storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.buckets.getstorage.buckets.liststorage.buckets.getIamPolicy
Zur Veranschaulichung dieser Option betrachten wir ein Beispiel, in dem Alex der Administrator der Beispielorganisation ist und Lee ein Mitarbeiter dieser Organisation. Angenommen, es gibt eine Website wie altostrat.com, auf der statische Inhalte in öffentlichen Cloud Storage-Buckets gespeichert werden und die nicht zu „Beispiel-Organisation“ gehört. Wenn Alex die Option strict verwendet, um den Zugriff von Lee nur auf die Beispielorganisation zu beschränken, wird Lee der Zugriff auf statische Inhalte in altostrat.com verweigert, die sich in öffentlichen Cloud Storage-Buckets befinden, die zu altostrat.com gehören. Dieses Verhalten wirkt sich auf die Möglichkeit von Lee aus, die Website effektiv zu durchsuchen. Dasselbe Verhalten tritt bei jeder Website auf, die statische Inhalte in öffentlichem Cloud Storage speichert.
Damit Lee die statischen Inhalte auf altostrat.com aufrufen und den Google Cloud Zugriff auf alle anderen nur auf die Beispielorganisation beschränken kann,cloudStorageReadAllowed verwendet Alex die Option cloudStorageReadAllowed.
Hier ist ein Beispiel für einen gültigen Header für Organisationsbeschränkungen:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Header codieren
Codieren Sie die Organisations-IDs im websicheren Base64-Format. Die Codierung muss den Spezifikationen von RFC 4648 Abschnitt 5 entsprechen.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei authorized_orgs.json gespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Hier ist ein Beispiel für eine Kopfzeile nach der Codierung der Organisations-ID:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Ausgehenden Proxy konfigurieren
Wenn Sie den Header in Anfragen einfügen möchten, die von den verwalteten Geräten stammen, müssen Sie den ausgehenden Proxy konfigurieren.
Wenn ein Nutzer in Ihrer Organisation explizit einen HTTP-Header angibt, muss der Ausgangproxy die vom Nutzer angegebenen Werte durch die vom Administrator angegebenen Werte überschreiben. Google Cloud Google Cloud
Damit dieser Header nicht an Ziele außerhalb von Google Cloudangehängt wird, konfigurieren Sie den Ausstiegsproxy so, dass der Header „Organization Restrictions“ nur Anfragen mit den folgenden Zielen hinzugefügt wird:
*.google.com*.googleapis.com*.gcr.io*.pkg.dev*.cloudfunctions.net*.run.app*.tunnel.cloudproxy.app*.datafusion.googleusercontent.com
Informationen zu Fehlermeldungen, die aufgrund von Verstößen gegen Organisationsbeschränkungen auftreten, finden Sie unter Fehlermeldungen.