En esta página, se describen varios ejemplos comunes de cómo usar las restricciones de organización.
Restringe el acceso solo a tu organización
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de La organización A interactúan para impedir que los empleados solo accedan a los recursos de su organización de Google Cloud.
Para restringir el acceso solo a tu organización, haz lo siguiente:
Como administrador de Google Cloud, para obtener el ID de la organización de Google Cloud de En la organización A, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es un resultado de ejemplo:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, compón la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.
Por ejemplo, si la representación JSON para el valor del encabezado se almacena en el
authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando: Comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador del proxy de salida, configura el proxy de salida de modo que se cumplan las siguientes condiciones: el encabezado de la solicitud se inserta en todas las solicitudes que se originan en los dispositivos administrados En la Organización A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restringir el acceso a tu organización y permitir solicitudes de lectura a los recursos de Cloud Storage
En este ejemplo, el administrador de Google Cloud y el administrador de proxy de salida de la Organización A trabajan juntos para restringir el acceso de los empleados a solo los recursos de su organización de Google Cloud, excepto las solicitudes de lectura a los recursos de Cloud Storage.
Es posible que los administradores deseen omitir las solicitudes de lectura a los recursos de Cloud Storage de la aplicación forzosa de restricciones de la organización para garantizar que sus empleados puedan acceder a sitios web externos que usan Cloud Storage para alojar contenido estático. El administrador usa la opción cloudStorageReadAllowed para permitir solicitudes de lectura a los recursos de Cloud Storage.
Para restringir el acceso solo a tu organización y permitir solicitudes de lectura a Cloud Storage recursos, haz lo siguiente:
Como administrador de Google Cloud, para obtener el ID de la organización de Google Cloud de En la organización A, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es un resultado de ejemplo:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, compón la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones de la sección 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador del proxy de salida, configura el proxy de salida de modo que se cumplan las siguientes condiciones: el encabezado de la solicitud se inserta en todas las solicitudes que se originan en los dispositivos administrados En la Organización A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lLos empleados de la organización A ahora tienen acceso a su organización de Google Cloud y acceso de lectura a los recursos de Cloud Storage.
Permitir que los empleados accedan a una organización de proveedores de Google Cloud
En este ejemplo, el administrador de Google Cloud y el administrador de proxy de salida de la Organización B trabajan juntos para permitir que los empleados accedan a una organización de Google Cloud de proveedores además de su organización de Google Cloud existente.
Para restringir el acceso de los empleados solo a tu organización y a la organización del proveedor, haz lo siguiente:
Como administrador de Google Cloud, interactúa con el proveedor para obtener la Es el ID de la organización del proveedor.
Como administrador del proxy de salida, incluir además el ID de la organización del proveedor con el ID de la organización existente, debes actualizar la representación JSON para el valor del encabezado. Después de obtener el ID de la organización del proveedor de Google Cloud administrador, actualiza el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones de la sección 5 de RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador del proxy de salida, configura el proxy de salida de modo que se cumplan las siguientes condiciones: el encabezado de la solicitud se inserta en todas las solicitudes que se originan en los dispositivos administrados en la Organización B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KLos empleados de la organización B ahora tienen acceso al proveedor y a sus organizaciones de Google Cloud.
Restringir el acceso solo a las cargas
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de La organización C interactúan para restringir el acceso de carga de los empleados solo a los recursos en la organización de Google Cloud.
Para restringir el acceso de carga solo a tu organización, haz lo siguiente:
Como administrador de Google Cloud, para obtener el ID de la organización de Google Cloud de la Organización C, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es un resultado de ejemplo:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador del proxy de salida, después de obtener el ID de la organización de Google Cloud administrador, compone la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador del proxy de salida, codifica el valor del encabezado de la solicitud de acuerdo con las especificaciones de la sección 5 de RFC 4648.
Por ejemplo, si la representación JSON para el valor del encabezado se almacena en el
authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando: Comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador del proxy de salida, configura el proxy de salida de modo que se cumplan las siguientes condiciones: El encabezado de la solicitud se inserta solo en las solicitudes con los métodos PUT, POST y PATCH. que provienen de los dispositivos administrados de la Organización C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
¿Qué sigue?
- Obtén más información sobre los servicios admitidos por las restricciones de la organización.