Configurar restrições para organizações

Nesta página, descrevemos os pré-requisitos para a configuração do proxy de saída, como o ID da organização, adicionar o cabeçalho restrições para organizações e configurar o proxy com a lista de URLs de destino.

Administradores do Google Cloud, que administram o Google Cloud, e administradores de proxy de saída que configuram o proxy de saída precisam trabalhar juntos para definir as restrições para organizações. Para informações sobre soluções de parceiros validadas com restrições da organização, consulte Soluções de parceiros validadas.

Antes de começar

Se você é um administrador de proxy de saída, antes de configurar o proxy de saída para adicionar o cabeçalho de restrições para organizações, faça o seguinte: você precisa atender aos seguintes pré-requisitos:

  • Se os papéis de administrador do Google Cloud e de administrador do proxy de saída forem diferentes na sua organização, o administrador do Google Cloud precisa interagir administrador de proxy de saída para configurá-lo.

  • Configure as regras de firewall da organização ou os dispositivos gerenciados para garantir que o tráfego de saída de todos os usuários da organização passe proxy de saída.

  • Verifique se o proxy de saída na sua organização tem os seguintes recursos:

    • Inserir cabeçalhos. Insere um cabeçalho HTTP personalizado na saída que passam pelo proxy de saída.
    • Inspeção de TLS. Se o tráfego para o proxy de saída estiver criptografado, ele descriptografar os pacotes, inserir o cabeçalho e recriptografar o pacote antes ao enviá-lo ao destino.
    • Filtrar e inserir cabeçalhos. Opcional. É compatível com um ou mais dos seguintes filtros e, em seguida, adicione o cabeçalho somente para solicitações que correspondam à condição de filtro:

      • URLs de destino. Uma lista de URLs de destino que podem ser correspondidos pelo proxy de saída.
      • IDs do dispositivo. Uma lista de IDs de dispositivos que podem ser correspondidos pelo proxy de saída. Os IDs dos dispositivos precisam ser propagados para o proxy de saída.
      • IDs de usuário. Uma lista de IDs de usuário que podem ser correspondidos pelo proxy de saída. O usuário Os IDs precisam ser propagados para o proxy de saída.

Conseguir o ID da organização

Como administrador do Google Cloud, você precisa ter o acesso ID da organização para que ele possa ser adicionado ao cabeçalho de restrições para organizações.

Para encontrar o ID do recurso da sua organização, execute o seguinte comando:

   gcloud organizations list

Esse comando lista todos os recursos da organização a que você pertence e os IDs de recursos da organização correspondentes.

Depois de receber o ID da organização, adicione o cabeçalho de restrições da organização ou entre em contato com o administrador do proxy de saída para adicionar o cabeçalho.

Adicionar o cabeçalho de restrições da organização

Como administrador de proxy de saída, para adicionar o cabeçalho de restrições da organização às solicitações de saída, faça o seguinte:

  • Crie o cabeçalho.
  • Codifique o cabeçalho.
  • Configure o proxy de saída.

Criar o cabeçalho

Crie a representação JSON do cabeçalho no seguinte formato: X-Goog-Allowed-Resources: HEADER_VALUE

HEADER_VALUE contém uma lista separada por vírgulas de IDs de organização autorizados do Google Cloud. O valor precisa ser codificado em codificação base64 segura para a Web.

A HEADER_VALUE tem a seguinte estrutura JSON:

  {
  "resources": [string,..],
  "options": string
  }
  • resources: Uma lista de strings. Cada string nesta lista precisa se referir a um ID de organização do Google Cloud. Os IDs das organizações nesta lista são considerados organizações autorizadas durante a avaliação.
  • options: uma string que contém um dos seguintes valores:
    • "strict": Aplica o cabeçalho de restrições para organizações a todos os tipos de solicitação aos serviços compatíveis do Google Cloud.
    • "cloudStorageReadAllowed": Permite solicitações de leitura para o Cloud Storage, mas aplica o cabeçalho de restrições para organizações para todos os tipos de solicitação à serviços do Google Cloud com suporte. Essa opção permite o acesso às seguintes operações de leitura do Cloud Storage:
      • storage.objects.get
      • storage.objects.list
      • storage.objects.getIamPolicy
      • storage.buckets.get
      • storage.buckets.list
      • storage.buckets.getIamPolicy

Para demonstrar essa opção, considere um exemplo em que Alex é o administrador da Organização Exemplo e Lee é um funcionário dessa organização. Considere Um site como altostrat.com que armazena conteúdo estático em Cloud Storage público buckets e está fora da organização de exemplo. Se Alex usar a opção strict para restringir o acesso de Lee apenas à Organização Exemplo, o acesso de Lee ao conteúdo estático em altostrat.com, que existe em buckets públicos do Cloud Storage de propriedade de altostrat.com, será negado. Esse comportamento afeta a capacidade de navegar no site de forma eficaz, e o mesmo comportamento é observado em qualquer site que use o Cloud Storage público para armazenar conteúdo estático. Para permitir que Lee visualizasse o conteúdo estático em altostrat.com e restringir todos os outros acessos do Google Cloud somente à organização de exemplo, Alex usa a opção cloudStorageReadAllowed.

Veja um exemplo de um cabeçalho de restrições para organizações válido:

  {
  "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
  }

Codificar o cabeçalho

Codifique os IDs das organizações no formato base64 seguro para Web. A codificação precisa seguir o Especificações da RFC 4648 Seção 5.

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o comando basenc abaixo:

     $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K

Veja um exemplo de cabeçalho após a codificação do ID da organização:

// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K

// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}

Configurar o proxy de saída

Para inserir o cabeçalho em solicitações originadas dos dispositivos gerenciados, configure proxy de saída.

Se um usuário do Google Cloud na sua organização fornecer explicitamente um cabeçalho HTTP, o proxy de saída substitui os valores fornecidos pelo usuário pelos valores fornecidos pelo administrador do Google Cloud.

Para evitar a adição desse cabeçalho a destinos fora do Google Cloud, configure o proxy de saída para adicionar o cabeçalho de restrições para organizações às solicitações apenas com os seguintes destinos:

  • *.google.com
  • *.googleapis.com
  • *.gcr.io
  • *.pkg.dev
  • *.cloudfunctions.net
  • *.run.app
  • *.tunnel.cloudproxy.app
  • *.datafusion.googleusercontent.com

Para informações sobre mensagens de erro que ocorrem devido a violações de restrições da organização, consulte mensagens de erro.

A seguir