En esta página se describen los requisitos previos para configurar el proxy de salida, cómo obtener el ID de la organización, añadir el encabezado de restricciones de la organización y configurar el proxy con la lista de URLs de destino.
LosGoogle Cloud administradores, que administran Google Cloud, y los administradores del proxy de salida, que configuran el proxy de salida, deben colaborar para configurar las restricciones de la organización. Para obtener información sobre las soluciones de partners validadas con restricciones de organización, consulta el artículo Soluciones de partners validadas.
Antes de empezar
Si eres administrador de un proxy de salida, antes de configurar el proxy de salida para añadir el encabezado de restricciones de la organización, debes completar los siguientes requisitos previos:
Si los roles de administrador de Google Cloud y de administrador de proxy de salida son diferentes en tu organización, asegúrate de que el administrador de Google Cloud se ponga en contacto con el administrador de proxy de salida para configurar el proxy de salida. Google Cloud
Configura las reglas del cortafuegos de tu organización o los dispositivos gestionados para asegurarte de que el tráfico saliente de todos los usuarios de tu organización pase por el proxy de salida.
Asegúrate de que el proxy de salida de tu organización tenga las siguientes características:
- Insertar encabezados. Inserta un encabezado HTTP personalizado en las solicitudes salientes que atraviesan el proxy de salida.
- Inspección TLS Si el tráfico al proxy de salida está cifrado, el proxy de salida debe descifrar los paquetes, insertar el encabezado y volver a cifrar el paquete antes de enviarlo al destino.
Filtrar e insertar encabezados Opcional. Admite uno o varios de los siguientes filtros y, a continuación, añade el encabezado solo a las solicitudes que cumplan la condición del filtro:
- URLs de destino: lista de URLs de destino con las que puede coincidir el proxy de salida.
- IDs de dispositivo. Lista de IDs de dispositivos con los que puede coincidir el proxy de salida. Los IDs de los dispositivos deben propagarse al proxy de salida.
- IDs de usuario. Lista de IDs de usuario con los que puede coincidir el proxy de salida. Los IDs de usuario deben propagarse al proxy de salida.
Obtener el ID de organización
Como Google Cloud administrador, debes obtener el Google CloudID de la organización para poder añadirlo al encabezado de restricciones de la organización.
Para encontrar el ID de recurso de tu organización, ejecuta el siguiente comando:
gcloud organizations list
Este comando muestra todos los recursos de organización a los que perteneces y sus IDs de recursos de organización correspondientes.
Una vez que tengas el ID de la organización, puedes añadir el encabezado de restricciones de la organización o ponerte en contacto con el administrador del proxy de salida para que lo añada.
Añadir el encabezado de restricciones de la organización
Como administrador de proxy de salida, para añadir el encabezado de restricciones de la organización a las solicitudes salientes, siga estos pasos:
- Crea el encabezado.
- Codifica el encabezado.
- Configura el proxy de salida.
Crea el encabezado
Crea la representación JSON del encabezado con el siguiente formato:
X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE contiene una lista separada por comas de IDs de organizaciones autorizadas. Google Cloud
A continuación, el valor debe codificarse en base64 segura para la Web.
HEADER_VALUE tiene la siguiente estructura JSON:
{
"resources": [string,..],
"options": string
}
resources. Una lista de cadenas. Cada cadena de esta lista debe hacer referencia a un Google CloudID de organización. Los IDs de organización de esta lista se consideran organizaciones autorizadas durante la evaluación.options. Cadena que contiene uno de los siguientes valores:"strict". Aplica el encabezado de restricciones de organización a todos los tipos de solicitudes de los servicios admitidos Google Cloud ."cloudStorageReadAllowed". Permite las solicitudes de lectura a Cloud Storage, pero aplica el encabezado de restricciones de la organización a todos los demás tipos de solicitudes de los servicios compatibles Google Cloud . Esta opción permite el acceso a las siguientes operaciones de lectura de Cloud Storage:storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.buckets.getstorage.buckets.liststorage.buckets.getIamPolicy
Para mostrar esta opción, vamos a ver un ejemplo en el que Alex es el administrador de la organización de ejemplo y Lee es empleado de esta organización. Supongamos que hay un sitio web, como altostrat.com, que almacena contenido estático en segmentos públicos de Cloud Storage y que no pertenece a la organización de ejemplo. Si Alejandro usa la opción strict para restringir el acceso de Lee solo a la organización de ejemplo, se le denegará el acceso al contenido estático de altostrat.com, que se encuentra en los segmentos de Cloud Storage públicos propiedad de altostrat.com. Este comportamiento afecta a la capacidad de Lee para navegar por el sitio web de forma eficaz. Se produce el mismo comportamiento en cualquier sitio web que utilice Cloud Storage público para almacenar contenido estático.
Para permitir que Lee vea el contenido estático de altostrat.com y restringir el acceso de todos los demás Google Cloud solo a Example Organization, Alex usa la opción cloudStorageReadAllowed.
A continuación, se muestra un ejemplo de un encabezado de restricciones de organización válido:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Codificar el encabezado
Codifica los IDs de organización en formato base64 seguro para la Web. La codificación debe seguir las especificaciones de la sección 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando basenc:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
A continuación, se muestra un ejemplo de encabezado después de codificar el ID de organización:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Configurar el proxy de salida
Para insertar el encabezado en las solicitudes procedentes de los dispositivos gestionados, configura el proxy de salida.
Asegúrate de que, si un Google Cloud usuario de tu organización proporciona explícitamente un encabezado HTTP, el proxy de salida sustituya los valores proporcionados por el usuario por los valores proporcionados por el Google Cloud administrador.
Para evitar añadir este encabezado a destinos que no estén en Google Cloud, configura el proxy de salida para que añada el encabezado de restricciones de la organización solo a las solicitudes con los siguientes destinos:
*.google.com*.googleapis.com*.gcr.io*.pkg.dev*.cloudfunctions.net*.run.app*.tunnel.cloudproxy.app*.datafusion.googleusercontent.com
Para obtener información sobre los mensajes de error que se producen debido a infracciones de las restricciones de la organización, consulta los mensajes de error.
Siguientes pasos
- Consulta información sobre cómo usar las restricciones de la organización.