本页面介绍如何使用组织权限限制的几个常见示例。
仅限贵组织访问
在此示例中,组织 A 的 Google Cloud 管理员和出站流量代理管理员共同限制员工只能访问其 Google Cloud 组织中的资源。
如需仅允许您的组织进行访问,请执行以下操作:
作为 Google Cloud 管理员,如需获取组织 A 的 Google Cloud 组织 ID,请使用
gcloud organizations list
命令:gcloud organizations list
以下是示例输出:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
作为出站流量代理管理员,从 Google Cloud 管理员获得组织 ID 后,请按以下格式编写标头值的 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }
作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,以便对文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管理设备的所有请求中插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
限制对您的组织的访问权限,允许对 Cloud Storage 资源的读取请求
在此示例中,组织 A 的 Google Cloud 管理员和出站流量代理管理员共同限制员工只能访问其 Google Cloud 组织中的资源,但对 Cloud Storage 资源的读取请求除外。管理员可能不希望在组织权限限制执行中忽略对 Cloud Storage 资源的读取请求,以确保其员工可以访问使用 Cloud Storage 托管静态内容的外部网站。管理员使用 cloudStorageReadAllowed
选项允许对 Cloud Storage 资源的读取请求。
如需仅允许对您的组织进行访问并允许对 Cloud Storage 资源的读取请求,请执行以下操作:
作为 Google Cloud 管理员,如需获取组织 A 的 Google Cloud 组织 ID,请使用
gcloud organizations list
命令:gcloud organizations list
以下是示例输出:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
作为出站流量代理管理员,从 Google Cloud 管理员获得组织 ID 后,请按以下格式编写标头值的 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }
作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,以便对文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管理设备的所有请求中插入以下请求标头:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
组织 A 的员工现在可以访问其 Google Cloud 组织并读取 Cloud Storage 资源。
允许员工访问供应商的 Google Cloud 组织
在此示例中,组织 B 的 Google Cloud 管理员和出站流量代理管理员共同合作,以允许员工访问供应商 Google Cloud 组织以及其现有的 Google Cloud 组织。
如要仅允许员工访问贵组织和供应商组织,请执行以下操作:
作为 Google Cloud 管理员,请与供应商互动,获取供应商组织的 Google Cloud 组织 ID。
作为出站流量代理管理员,如果除了现有组织 ID 之外,还需要添加供应商组织 ID,您必须更新标头值的 JSON 表示法。从 Google Cloud 管理员获取供应商组织 ID 后,请按以下格式更新标头值:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }
作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,以便对文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 B 中的受管理设备的所有请求中插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
现在,B 组织的员工可以访问供应商及其 Google Cloud 组织了。
仅针对上传操作限制访问权限
在此示例中,组织 C 的 Google Cloud 管理员和出站代理管理员共同合作,限制员工只能上传 Google Cloud 组织内的资源。
如需仅允许您组织内部人员访问上传,请执行以下操作:
作为 Google Cloud 管理员,如需获取组织 C 的 Google Cloud 组织 ID,请使用
gcloud organizations list
命令:gcloud organizations list
以下是示例输出:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
作为出站流量代理管理员,从 Google Cloud 管理员获得组织 ID 后,请按以下格式编写标头值的 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }
作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,以便对文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
作为出站流量代理管理员,请配置出站流量代理,以便仅针对来自组织 C 中的受管设备的具有 PUT、POST 和 PATCH 方法的请求插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
后续步骤
- 了解组织限制所支持的服务。