En esta página, se describen varios ejemplos comunes de uso de las restricciones para organizaciones.
Restringe el acceso solo a tu organización
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de la organización A interactúan para restringir a los empleados a fin de que solo accedan a los recursos en su organización de Google Cloud.
Para restringir el acceso solo a tu organización, haz lo siguiente:
Como administrador de Google Cloud, para obtener el ID de la organización de Google Cloud de la Organización A, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es el resultado de ejemplo:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador del proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, redacta la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones del artículo 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, ejecuta el siguiente comando basenc para codificar el archivo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte en todas las solicitudes que se originan en los dispositivos administrados de la Organización A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restringe el acceso a tu organización y permite las solicitudes de lectura a los recursos de Cloud Storage
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de la organización A interactúan a fin de restringir a los empleados para que solo accedan a los recursos en su organización de Google Cloud, excepto las solicitudes de lectura a los recursos de Cloud Storage.
Es posible que los administradores quieran omitir las solicitudes de lectura a los recursos de Cloud Storage de la aplicación de restricciones para organizaciones para garantizar que sus empleados puedan acceder a sitios web externos que usan Cloud Storage para alojar contenido estático. El administrador usa la opción cloudStorageReadAllowed para permitir las solicitudes de lectura a los recursos de Cloud Storage.
Para restringir el acceso solo a tu organización y permitir las solicitudes de lectura a los recursos de Cloud Storage, haz lo siguiente:
Como administrador de Google Cloud, para obtener el ID de la organización de Google Cloud de la Organización A, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es el resultado de ejemplo:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador del proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, redacta la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones del artículo 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, ejecuta el siguiente comando basenc para codificar el archivo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte en todas las solicitudes que se originan en los dispositivos administrados de la Organización A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lLos empleados de la organización A ahora tienen acceso a su organización de Google Cloud y acceso de lectura a los recursos de Cloud Storage.
Permitir que los empleados accedan a una organización proveedora de Google Cloud
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de la organización B interactúan para permitir que los empleados accedan a una organización proveedora de Google Cloud, además de su organización existente de Google Cloud.
Para restringir el acceso de los empleados solo a tu organización y a la organización proveedora, haz lo siguiente:
Como administrador de Google Cloud, interactúa con el proveedor para obtener el ID de la organización de Google Cloud correspondiente a la organización del proveedor.
Como administrador del proxy de salida, para incluir el ID de la organización del proveedor además del ID de la organización existente, debes actualizar la representación JSON del valor del encabezado. Después de obtener el ID de la organización del proveedor del administrador de Google Cloud, actualiza el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones del artículo 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, ejecuta el siguiente comando basenc para codificar el archivo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte en todas las solicitudes que se originan en los dispositivos administrados de la organización B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KLos empleados de la Organización B ahora tienen acceso tanto al proveedor como a sus organizaciones de Google Cloud.
Restringir el acceso solo a las cargas
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de la Organización C interactúan para restringir el acceso de carga de los empleados solo a los recursos de la organización de Google Cloud.
Para restringir el acceso de carga solo a tu organización, haz lo siguiente:
Como administrador de Google Cloud, para obtener el ID de la organización de Google Cloud de la organización C, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es el resultado de ejemplo:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador del proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, redacta la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones del artículo 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, ejecuta el siguiente comando basenc para codificar el archivo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte solo para las solicitudes con métodos PUT, POST y PATCH que se originen en los dispositivos administrados en la Organización C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
¿Qué sigue?
- Obtén más información sobre los servicios compatibles con las restricciones de la organización.