Halaman ini diterjemahkan oleh Cloud Translation API.

Contoh pembatasan organisasi

Halaman ini menjelaskan beberapa contoh umum tentang cara menggunakan pembatasan organisasi.

Membatasi akses hanya untuk organisasi Anda

Dalam contoh ini, Google Cloud administrator dan administrator proxy keluar dari Organisasi A bekerja sama untuk membatasi karyawan agar hanya mengakses resource di organisasiGoogle Cloud mereka.

Untuk membatasi akses hanya ke organisasi Anda, lakukan hal berikut:

Sebagai Google Cloud administrator, untuk mendapatkan Google Cloud ID organisasi Organisasi A, gunakan perintah gcloud organizations list:
```
    gcloud organizations list
```
Berikut adalah contoh output:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Sebagai administrator proxy keluar, setelah Anda mendapatkan ID organisasi dari administrator Google Cloud, buat representasi JSON untuk nilai header dalam format berikut:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Sebagai administrator proxy keluar, encode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Sebagai administrator proxy keluar, konfigurasikan proxy keluar sehingga header permintaan berikut dimasukkan dalam semua permintaan yang berasal dari perangkat terkelola di Organisasi A:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Membatasi akses ke organisasi Anda dan mengizinkan permintaan baca ke resource Cloud Storage

Dalam contoh ini, administrator Google Cloud dan administrator proxy keluar dari Organisasi A bekerja sama untuk membatasi karyawan agar hanya mengakses resource di organisasiGoogle Cloud mereka, kecuali untuk permintaan baca ke resource Cloud Storage. Administrator mungkin ingin menghapus permintaan baca ke resource Cloud Storage dari penerapan pembatasan organisasi untuk memastikan bahwa karyawan mereka dapat mengakses situs eksternal yang menggunakan Cloud Storage untuk menghosting konten statis. Administrator menggunakan opsi cloudStorageReadAllowed untuk mengizinkan permintaan baca ke resource Cloud Storage.

Untuk membatasi akses hanya ke organisasi Anda dan mengizinkan permintaan baca ke resource Cloud Storage, lakukan tindakan berikut:

Sebagai Google Cloud administrator, untuk mendapatkan Google Cloud ID organisasi Organisasi A, gunakan perintah gcloud organizations list:
```
    gcloud organizations list
```
Berikut adalah contoh output:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Sebagai administrator proxy keluar, setelah Anda mendapatkan ID organisasi dari administrator Google Cloud, buat representasi JSON untuk nilai header dalam format berikut:
```
 {
 "resources": ["organizations/123456789"],
  "options": "cloudStorageReadAllowed"
 }
```
Sebagai administrator proxy keluar, encode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Sebagai administrator proxy keluar, konfigurasikan proxy keluar sehingga header permintaan berikut dimasukkan dalam semua permintaan yang berasal dari perangkat terkelola di Organisasi A:
```
 X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Karyawan Organisasi A kini memiliki akses ke Google Cloud organisasi mereka dan akses baca ke resource Cloud Storage.

Mengizinkan karyawan mengakses organisasi Google Cloud vendor

Dalam contoh ini, administrator Google Cloud dan administrator proxy keluar dari Organisasi B bekerja sama untuk mengizinkan karyawan mengakses organisasi Google Cloud vendor selain organisasi Google Cloud yang ada.

Untuk membatasi akses karyawan hanya ke organisasi Anda dan organisasi vendor, lakukan hal berikut:

Sebagai Google Cloud administrator, hubungi vendor untuk mendapatkan Google Cloud ID organisasi organisasi vendor.
Sebagai administrator proxy keluar, untuk menyertakan ID organisasi vendor selain ID organisasi yang ada, Anda harus memperbarui representasi JSON untuk nilai header. Setelah Anda mendapatkan ID organisasi vendor dari administrator Google Cloud, perbarui nilai header dalam format berikut:
```
 {
 "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
 }
```
Sebagai administrator proxy keluar, encode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Sebagai administrator proxy keluar, konfigurasikan proxy keluar sehingga header permintaan berikut dimasukkan dalam semua permintaan yang berasal dari perangkat terkelola di Organisasi B:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Karyawan Organisasi B kini memiliki akses ke vendor dan Google Cloud organisasi mereka.

Membatasi akses hanya untuk upload

Dalam contoh ini, Google Cloud administrator dan administrator proxy keluar dari Organisasi C bekerja sama untuk membatasi akses upload karyawan hanya ke resource di organisasiGoogle Cloud .

Untuk membatasi akses upload hanya ke organisasi Anda, lakukan hal berikut:

Sebagai Google Cloud administrator, untuk mendapatkan Google Cloud ID organisasi Organisasi C, gunakan perintah gcloud organizations list:
```
    gcloud organizations list
```
Berikut adalah contoh output:
```
    DISPLAY_NAME: Organization C
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Sebagai administrator proxy keluar, setelah Anda mendapatkan ID organisasi dari administrator Google Cloud, buat representasi JSON untuk nilai header dalam format berikut:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Sebagai administrator proxy keluar, encode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Sebagai administrator proxy keluar, konfigurasikan proxy keluar sehingga header permintaan berikut dimasukkan hanya untuk permintaan dengan metode PUT, POST, dan PATCH yang berasal dari perangkat terkelola di Organisasi C:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Langkah selanjutnya

Pelajari layanan yang didukung oleh batasan organisasi.