Esta página descreve os pré-requisitos para a configuração do proxy de saída, como receber o ID da organização, adicionar o cabeçalho de restrições da organização e configurar o proxy com a lista de URLs de destino.
Os administradores deGoogle Cloud , que administram Google Cloud, e os administradores de proxy de saída que configuram esse elemento precisam trabalhar juntos para definir as restrições para organizações. Para informações sobre soluções de parceiros validadas com restrições da organização, consulte Soluções de parceiros validadas.
Antes de começar
Se você for um administrador de proxy de saída, antes de configurar o proxy de saída para adicionar o cabeçalho de restrições para organizações, conclua os seguintes pré-requisitos:
Se as funções de administrador e administrador do proxy de saída forem diferentes na sua organização, verifique se o administrador Google Cloud trabalha com o administrador do proxy de saída para configurar o proxy de saída. Google Cloud
Configure as regras de firewall da sua organização ou os dispositivos gerenciados para garantir que o tráfego de saída de todos os usuários da sua organização passe pelo proxy de saída.
Verifique se o proxy de saída na sua organização tem os seguintes recursos:
- Inserir cabeçalhos. Insere um cabeçalho HTTP personalizado em solicitações de saída que atravessam o proxy de saída.
- Inspeção de TLS. Se o tráfego para o proxy de saída estiver criptografado, ele precisa descriptografar os pacotes, inserir o cabeçalho e criptografar o pacote novamente antes de enviá-lo ao destino.
Filtrar e inserir cabeçalhos. Opcional. Ofereça suporte a um ou mais dos seguintes filtros e adicione o cabeçalho somente para solicitações que correspondam à condição do filtro:
- URLs de destino: uma lista de URLs de destino que o proxy de saída pode corresponder.
- IDs do dispositivo. Uma lista de IDs de dispositivos que o proxy de saída pode corresponder. Os IDs dos dispositivos precisam ser propagados para o proxy de saída.
- IDs de usuário. Uma lista de IDs de usuários que o proxy de saída pode corresponder. Os IDs de usuário precisam ser propagados para o proxy de saída.
Conseguir o ID da organização
Como Google Cloud administrador, você precisa receber o ID da organização Google Cloud para que ele possa ser adicionado ao cabeçalho de restrições da organização.
Para encontrar o ID do recurso da organização, execute o seguinte comando:
gcloud organizations list
Esse comando lista todos os recursos da organização aos quais você pertence e os IDs correspondentes.
Depois de receber o ID da organização, adicione o cabeçalho de restrições da organização ou entre em contato com o administrador do proxy de saída para adicionar o cabeçalho.
Adicionar o cabeçalho de restrições da organização
Como administrador de proxy de saída, para adicionar o cabeçalho de restrições da organização às solicitações de saída, faça o seguinte:
- Crie o cabeçalho.
- Codifique o cabeçalho.
- Configure o proxy de saída.
Criar o cabeçalho
Crie a representação JSON do cabeçalho no seguinte formato:
X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE
contém uma lista separada por vírgulas de IDs de organização
Google Cloudautorizados. O valor precisa ser codificado em codificação base64 segura para a Web.
HEADER_VALUE
tem a seguinte estrutura JSON:
{
"resources": [string,..],
"options": string
}
resources
: uma lista de strings. Cada string nesta lista precisa se referir a um ID de organização Google Cloud. Os IDs de organização nesta lista são considerados organizações autorizadas durante a avaliação.options
: uma string que contém um dos seguintes valores:"strict"
: aplica o cabeçalho de restrições para organizações a todos os tipos de solicitação para os serviços Google Cloud compatíveis."cloudStorageReadAllowed"
: permite solicitações de leitura ao Cloud Storage, mas impõe o cabeçalho de restrições para organizações a todos os tipos de solicitação para os serviços Google Cloud compatíveis. Essa opção permite o acesso às seguintes operações de leitura do Cloud Storage:storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy
Para demonstrar essa opção, considere um exemplo em que Alex é o administrador
da Organização Exemplo e Lee é um funcionário dessa organização. Considere
um site como altostrat.com, que armazena conteúdo estático em buckets públicos do Cloud Storage
e está fora da Organização Exemplo. Se Alex usar
a opção strict
para restringir o acesso de Lee apenas à Organização Exemplo,
o acesso de Lee ao conteúdo estático em altostrat.com, que existe em buckets públicos
do Cloud Storage de propriedade de altostrat.com, será negado. Esse comportamento afeta a capacidade
de navegar no site de forma eficaz, e o mesmo comportamento é observado
em qualquer site que use o Cloud Storage público para armazenar conteúdo estático.
Para permitir que Lee acesse o conteúdo estático em altostrat.com
e restrinja todo o outro Google Cloud acesso apenas à Organização Exemplo,
Alex usa a opção cloudStorageReadAllowed
.
Confira um exemplo de cabeçalho de restrições para organizações válido:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Codificar o cabeçalho
Codifique os IDs da organização no formato base64 seguro para a Web. A codificação precisa seguir as especificações da seção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no
arquivo authorized_orgs.json
, para codificar o arquivo, execute o seguinte comando
basenc:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Confira um exemplo de cabeçalho após codificar o ID da organização:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Configurar o proxy de saída
Para inserir o cabeçalho nas solicitações originadas dos dispositivos gerenciados, configure o proxy de saída.
Se um Google Cloud usuário da sua organização fornecer explicitamente um cabeçalho HTTP, o proxy de saída vai substituir os valores fornecidos pelo usuário pelos valores fornecidos pelo Google Cloud administrador.
Para evitar a adição desse cabeçalho a destinos fora de Google Cloud, configure o proxy de saída para adicionar o cabeçalho de restrições de organização a solicitações apenas com os seguintes destinos:
*.google.com
*.googleapis.com
*.gcr.io
*.pkg.dev
*.cloudfunctions.net
*.run.app
*.tunnel.cloudproxy.app
*.datafusion.googleusercontent.com
Para informações sobre mensagens de erro que ocorrem devido a violações de restrições da organização, consulte mensagens de erro.
A seguir
- Saiba mais sobre como usar restrições da organização.