Auf dieser Seite werden einige allgemeine Beispiele für die Verwendung von Organisationseinschränkungen beschrieben.
Zugriff auf Ihre Organisation beschränken
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Administrator des ausgehenden Proxys von Organisation A zusammen, um den Zugriff der Mitarbeiter auf Ressourcen in ihrer Google Cloud-Organisation einzuschränken.
So beschränken Sie den Zugriff auf Ihre Organisation:
Wenn Sie als Google Cloud-Administrator die Google Cloud-Organisations-ID Für Organisation A verwenden Sie den Befehl
gcloud organizations list:gcloud organizations listHier sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Google Cloud-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise im
authorized_orgs.json-Datei verwenden, führen Sie zum Codieren der Datei folgenden Befehl aus: basenc-Befehl:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Zugriff auf Ihre Organisation einschränken und Leseanfragen auf Cloud Storage-Ressourcen zulassen
In diesem Beispiel haben der Google Cloud-Administrator und der Proxy-Administrator für ausgehenden Traffic des
Organisation A zusammenarbeiten, um Mitarbeitern zu beschränken, nur auf ihre eigenen Ressourcen
Google Cloud-Organisation, mit Ausnahme von Leseanfragen an Cloud Storage-Ressourcen.
Administratoren können Leseanfragen an Cloud Storage-Ressourcen
Durchsetzung von Unternehmenseinschränkungen, um sicherzustellen, dass ihre Mitarbeiter
externen Websites, die Cloud Storage zum Hosten statischer Inhalte verwenden. Der Administrator
verwendet die Option cloudStorageReadAllowed, um Leseanfragen an Cloud Storage-Ressourcen zuzulassen.
So beschränken Sie den Zugriff auf Ihre Organisation und lassen Leseanfragen auf Cloud Storage zu: Ressourcen, gehen Sie so vor:
Als Google Cloud-Administrator können Sie die Google Cloud-Organisations-ID von Organisation A mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDas folgende Beispiel zeigt die Ausgabe:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Google Cloud-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Als Proxy-Administrator für ausgehenden Traffic codieren Sie den Wert für den Anfrageheader gemäß den Spezifikationen von RFC 4648, Abschnitt 5.
Wenn die JSON-Darstellung für den Headerwert beispielsweise im
authorized_orgs.json-Datei verwenden, führen Sie zum Codieren der Datei folgenden Befehl aus: basenc-Befehl:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lAls Administrator für ausgehenden Traffic konfigurieren Sie den Proxy für ausgehenden Traffic so, dass Der Anfrageheader wird in alle Anfragen eingefügt, die von den verwalteten Geräten stammen. in Organisation A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lDie Mitarbeiter von Organisation A haben jetzt Zugriff auf ihre Google Cloud-Organisation und Lesezugriff auf Cloud Storage-Ressourcen.
Mitarbeitern Zugriff auf eine Google Cloud-Organisation eines Anbieters gewähren
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Administrator des ausgehenden Proxys von Organisation B zusammen, um Mitarbeitern den Zugriff auf eine Google Cloud-Organisation des Anbieters zusätzlich zu ihrer bestehenden Google Cloud-Organisation zu ermöglichen.
So beschränken Sie den Mitarbeiterzugriff auf Ihre Organisation und die Organisation des Anbieters:
Als Google Cloud-Administrator wenden Sie sich an den Anbieter, um Google Cloud zu erhalten. Organisations-ID der Anbieterorganisation.
Wenn Sie als Administrator eines ausgehenden Proxys die Anbieterorganisations-ID zusätzlich zur vorhandenen Organisations-ID angeben möchten, müssen Sie die JSON-Darstellung für den Headerwert aktualisieren. Nachdem Sie die Organisations-ID des Anbieters von der Google Cloud Administrator, aktualisieren Sie den Headerwert in folgendem Format:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise im
authorized_orgs.json-Datei verwenden, führen Sie zum Codieren der Datei folgenden Befehl aus: basenc-Befehl:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KAls Administrator für ausgehenden Traffic konfigurieren Sie den Proxy für ausgehenden Traffic so, dass Der Anfrageheader wird in alle Anfragen eingefügt, die von den verwalteten Geräten stammen. in Organisation B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KDie Mitarbeiter von Organisation B haben jetzt Zugriff auf den Anbieter und ihre Google Cloud-Organisationen.
Zugriff nur für Uploads einschränken
In diesem Beispiel haben der Google Cloud-Administrator und der Proxy-Administrator für ausgehenden Traffic des Organisation C engagiert sich, um den Upload-Zugriff von Mitarbeitern auf Ressourcen in der Google Cloud-Organisation.
So schränken Sie den Uploadzugriff auf Ihre Organisation ein:
Wenn Sie als Google Cloud-Administrator die Google Cloud-Organisations-ID Für Organisation C verwenden Sie den Befehl
gcloud organizations list:gcloud organizations listDas folgende Beispiel zeigt die Ausgabe:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Als Proxy-Administrator für ausgehenden Traffic erhalten Sie nach dem Abrufen der Organisations-ID von der Google Cloud Administrator erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "strict" }Als Proxy-Administrator für ausgehenden Traffic codieren Sie den Wert für den Anfrageheader gemäß den Spezifikationen von RFC 4648, Abschnitt 5.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader nur für Anfragen mit PUT-, POST- und PATCH-Methoden eingefügt wird, die von den verwalteten Geräten in Organisation C stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo