Auf dieser Seite werden mehrere gängige Beispiele für die Verwendung von Organisationseinschränkungen beschrieben.
Zugriff auf Ihre Organisation beschränken
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Administrator für ausgehenden Traffic-Proxy der Organisation A zusammen, um Mitarbeiter zu beschränken, nur auf Ressourcen in ihrer Google Cloud-Organisation zuzugreifen.
So beschränken Sie den Zugriff auf Ihre Organisation:
Verwenden Sie als Google Cloud-Administrator den Befehl
gcloud organizations list
, um die Google Cloud-Organisations-ID von Organisation A abzurufen:gcloud organizations list
Im Folgenden sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
Nachdem Sie als Proxyadministrator für ausgehenden Traffic die Organisations-ID vom Google Cloud-Administrator erhalten haben, stellen Sie die JSON-Darstellung für den Headerwert im folgenden Format zusammen:
{ "resources": ["organizations/123456789"], "options": "strict" }
Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.json
gespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Konfigurieren Sie als Administrator für ausgehenden Traffic-Proxy den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Zugriff auf Ihre Organisation einschränken und Leseanfragen an Cloud Storage-Ressourcen zulassen
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Proxy-Administrator für ausgehenden Traffic der Organisation A zusammen, um Mitarbeiter zu beschränken, nur auf Ressourcen in ihrer Google Cloud-Organisation zuzugreifen. Hiervon ausgenommen sind Leseanfragen für Cloud Storage-Ressourcen.
Administratoren können die Leseanfragen an Cloud Storage-Ressourcen von der Erzwingung von Organisationseinschränkungen auslassen, damit ihre Mitarbeiter auf externe Websites zugreifen können, die Cloud Storage zum Hosten statischer Inhalte verwenden. Der Administrator verwendet die Option cloudStorageReadAllowed
, um Leseanfragen an Cloud Storage-Ressourcen zuzulassen.
So beschränken Sie den Zugriff auf Ihre Organisation und erlauben Leseanfragen auf Cloud Storage-Ressourcen:
Verwenden Sie als Google Cloud-Administrator den Befehl
gcloud organizations list
, um die Google Cloud-Organisations-ID von Organisation A abzurufen:gcloud organizations list
Im Folgenden sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
Nachdem Sie als Proxyadministrator für ausgehenden Traffic die Organisations-ID vom Google Cloud-Administrator erhalten haben, stellen Sie die JSON-Darstellung für den Headerwert im folgenden Format zusammen:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }
Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.json
gespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
Konfigurieren Sie als Administrator für ausgehenden Traffic-Proxy den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
Die Mitarbeiter von Organisation A haben jetzt Zugriff auf ihre Google Cloud-Organisation und Lesezugriff auf Cloud Storage-Ressourcen.
Mitarbeitern den Zugriff auf die Google Cloud-Organisation eines Anbieters erlauben
In diesem Beispiel interagieren der Google Cloud-Administrator und der Proxy-Administrator für ausgehenden Traffic der Organisation B, damit Mitarbeiter zusätzlich zu ihrer vorhandenen Google Cloud-Organisation auf eine Google Cloud-Organisation des Anbieters zugreifen können.
So beschränken Sie den Mitarbeiterzugriff auf Ihre Organisation und die externe Organisation:
Wenden Sie sich als Google Cloud-Administrator an den Anbieter, um die Google Cloud-Organisations-ID der Anbieterorganisation zu erhalten.
Als Administrator für ausgehenden Traffic-Proxy müssen Sie die JSON-Darstellung für den Headerwert aktualisieren, um zusätzlich zur vorhandenen Organisations-ID die Anbieter-Organisations-ID aufzunehmen. Nachdem Sie die Organisations-ID des Anbieters vom Google Cloud-Administrator erhalten haben, aktualisieren Sie den Headerwert im folgenden Format:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }
Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.json
gespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Konfigurieren Sie als Proxy-Administrator für ausgehenden Traffic den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation B stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Die Mitarbeiter von Organisation B haben jetzt Zugriff auf den Anbieter und auf ihre Google Cloud-Organisationen.
Zugriff nur für Uploads einschränken
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Administrator für ausgehenden Traffic-Proxy der Organisation C zusammen, um den Uploadzugriff von Mitarbeitern auf Ressourcen in der Google Cloud-Organisation zu beschränken.
So beschränken Sie den Uploadzugriff auf Ihre Organisation:
Verwenden Sie als Google Cloud-Administrator den Befehl
gcloud organizations list
, um die Google Cloud-Organisations-ID der Organisation C abzurufen:gcloud organizations list
Im Folgenden sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
Nachdem Sie als Proxyadministrator für ausgehenden Traffic die Organisations-ID vom Google Cloud-Administrator erhalten haben, stellen Sie die JSON-Darstellung für den Headerwert im folgenden Format zusammen:
{ "resources": ["organizations/123456789"], "options": "strict" }
Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.json
gespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Konfigurieren Sie als Administrator für ausgehenden Traffic-Proxy den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader nur für Anfragen mit den Methoden PUT, POST und PATCH von den verwalteten Geräten in Organisation C eingefügt wird:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo