Auf dieser Seite werden die Voraussetzungen für die Konfiguration des Proxyservers für ausgehenden Traffic beschrieben. Außerdem erfahren Sie, wie Sie die Organisations-ID abrufen, den Header für Organisationseinschränkungen hinzufügen und den Proxy mit der Liste der Ziel-URLs konfigurieren.
Google Cloud-Administratoren, die Google Cloud verwalten, und Administratoren des ausgehenden Proxy-Traffics, die den Proxy für ausgehenden Traffic konfigurieren, müssen gemeinsam Organisationseinschränkungen konfigurieren. Informationen zu Partnerlösungen, die mit Organisationseinschränkungen validiert wurden, finden Sie unter Geprüfte Partnerlösungen.
Hinweise
Wenn Sie ein Proxyadministrator für ausgehenden Traffic sind, müssen Sie die folgenden Voraussetzungen erfüllen, bevor Sie den Proxy für ausgehenden Traffic konfigurieren, um den Header für Organisationseinschränkungen hinzuzufügen:
Wenn sich die Rollen des Google Cloud-Administrators und des Administrators für ausgehenden Traffic in Ihrer Organisation unterscheiden, muss der Google Cloud-Administrator zusammen mit dem Proxyadministrator für ausgehenden Traffic den Proxy für ausgehenden Traffic konfigurieren.
Konfigurieren Sie die Firewallregeln Ihrer Organisation oder die verwalteten Geräte so, dass der ausgehende Traffic von allen Nutzern in Ihrer Organisation über den Proxy für ausgehenden Traffic weitergeleitet wird.
Achten Sie darauf, dass der Proxy für ausgehenden Traffic in Ihrer Organisation über die folgenden Funktionen verfügt:
- Überschriften einfügen: Fügt ausgehenden Anfragen, die über den Proxy für ausgehenden Traffic weitergeleitet werden, einen benutzerdefinierten HTTP-Header ein.
- TLS-Prüfung: Wenn der Traffic zum Ausgangs-Proxy verschlüsselt ist, muss der Ausgangs-Proxy die Pakete entschlüsseln, den Header einfügen und das Paket neu verschlüsseln, bevor es an das Ziel gesendet wird.
Header filtern und einfügen: Optional. Unterstützen Sie einen oder mehrere der folgenden Filter und fügen Sie den Header dann nur für Anfragen hinzu, die der Filterbedingung entsprechen:
- Ziel-URLs: Eine Liste von Ziel-URLs, mit denen der Proxy für ausgehenden Traffic übereinstimmen kann.
- Geräte-IDs: Eine Liste von Geräte-IDs, mit denen der Proxy für ausgehenden Traffic übereinstimmen kann. Die Geräte-IDs müssen an den Proxy für ausgehenden Traffic weitergegeben werden.
- User-IDs: Eine Liste von Nutzer-IDs, mit denen der Proxy für ausgehenden Traffic übereinstimmen kann. Die Nutzer-IDs müssen an den Proxy für ausgehenden Traffic weitergegeben werden.
Organisations-ID abrufen
Als Google Cloud-Administrator müssen Sie die Google Cloud-Organisations-ID abrufen, damit sie dem Header der Organisationseinschränkungen hinzugefügt werden kann.
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Mit diesem Befehl werden alle Organisationsressourcen, zu denen Sie gehören, und die entsprechenden Organisationsressourcen-IDs aufgelistet.
Nachdem Sie die Organisations-ID abgerufen haben, können Sie entweder den Header für Organisationseinschränkungen hinzufügen oder den Administrator des Ausgangs-Proxys bitten, den Header hinzuzufügen.
Header für Organisationseinschränkungen hinzufügen
So fügen Sie als Proxy-Administrator für ausgehenden Traffic ausgehenden Anfragen den Header für Organisationseinschränkungen hinzu:
- Erstellen Sie den Header.
- Codieren Sie den Header.
- Konfigurieren Sie den Proxy für ausgehenden Traffic.
Header erstellen
Erstellen Sie die JSON-Darstellung für den Header im folgenden Format: X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE enthält eine durch Kommas getrennte Liste autorisierter Google Cloud-Organisations-IDs. Der Wert muss dann mit der websicheren Base64-Codierung codiert werden.
HEADER_VALUE hat die folgende JSON-Struktur:
{
"resources": [string,..],
"options": string
}
resources: Eine Liste von Strings. Jeder String in dieser Liste muss auf eine Google Cloud-Organisations-ID verweisen. Organisations-IDs in dieser Liste gelten bei der Bewertung als autorisierte Organisationen.options. Ein String, der einen der folgenden Werte enthält:"strict": Erzwingt den Header für Organisationseinschränkungen für alle Anfragetypen an die unterstützten Google Cloud-Dienste."cloudStorageReadAllowed". Ermöglicht Leseanfragen an Cloud Storage, erzwingt aber den Header für Organisationseinschränkungen für alle Anfragetypen an die unterstützten Google Cloud-Dienste. Diese Option ermöglicht den Zugriff für die folgenden Cloud Storage-Lesevorgänge:storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.buckets.getstorage.buckets.liststorage.buckets.getIamPolicy
Sehen wir uns zur Veranschaulichung an einem Beispiel an, bei dem Alex der Administrator der Beispielorganisation und Lee ein Mitarbeiter dieser Organisation ist. Angenommen, eine Website wie altostrat.com speichert statische Inhalte in öffentlichen Cloud Storage-Buckets und befindet sich außerhalb der Beispielorganisation. Wenn Alex die Option strict verwendet, um Lees Zugriff nur auf die Beispielorganisation zu beschränken, wird Lees Zugriff auf statische Inhalte in altostrat.com verweigert, die sich in öffentlichen Cloud Storage-Buckets von altostrat.com befinden. Dieses Verhalten beeinträchtigt Lees Fähigkeit, die Website effektiv zu durchsuchen. Dasselbe Verhalten gilt für alle Websites, die öffentlichen Cloud Storage zum Speichern statischer Inhalte verwenden.
Damit Lee den statischen Inhalt in altostrat.com ansehen und den Zugriff aller anderen Google Cloud-Dienste nur auf die Beispielorganisation beschränken kann, verwendet Alex die Option cloudStorageReadAllowed.
Hier ein Beispiel für einen gültigen Header für Organisationseinschränkungen:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Header codieren
Codieren Sie die Organisations-IDs im websicheren Base64-Format. Die Codierung muss den Spezifikationen für RFC 4648, Abschnitt 5 entsprechen.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei authorized_orgs.json gespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Hier ein Beispielheader nach der Codierung der Organisations-ID:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Proxy für ausgehenden Traffic konfigurieren
Konfigurieren Sie den Proxy für ausgehenden Traffic, um den Header in Anfragen einzufügen, die von den verwalteten Geräten stammen.
Wenn ein Google Cloud-Nutzer in Ihrer Organisation explizit einen HTTP-Header angibt, überschreibt der Proxy für ausgehenden Traffic die vom Nutzer bereitgestellten Werte mit den vom Google Cloud-Administrator bereitgestellten Werten.
Damit dieser Header nicht Zielen außerhalb von Google Cloud hinzugefügt wird, konfigurieren Sie den Proxy für ausgehenden Traffic so, dass der Header für Organisationseinschränkungen nur Anfragen mit den folgenden Zielen hinzugefügt wird:
*.google.com*.googleapis.com*.gcr.io*.pkg.dev*.cloudfunctions.net*.run.app*.tunnel.cloudproxy.app*.datafusion.googleusercontent.com
Informationen zu Fehlermeldungen, die aufgrund von Verstößen gegen Organisationsbeschränkungen auftreten, finden Sie unter Fehlermeldungen.