Auf dieser Seite werden mehrere gängige Beispiele für die Verwendung von Organisationseinschränkungen beschrieben.
Zugriff auf Ihre Organisation beschränken
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Administrator für ausgehenden Traffic-Proxy der Organisation A zusammen, um Mitarbeiter zu beschränken, nur auf Ressourcen in ihrer Google Cloud-Organisation zuzugreifen.
So beschränken Sie den Zugriff auf Ihre Organisation:
Verwenden Sie als Google Cloud-Administrator den Befehl
gcloud organizations list, um die Google Cloud-Organisations-ID von Organisation A abzurufen:gcloud organizations listIm Folgenden sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Proxyadministrator für ausgehenden Traffic die Organisations-ID vom Google Cloud-Administrator erhalten haben, stellen Sie die JSON-Darstellung für den Headerwert im folgenden Format zusammen:
{ "resources": ["organizations/123456789"], "options": "strict" }Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoKonfigurieren Sie als Administrator für ausgehenden Traffic-Proxy den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Zugriff auf Ihre Organisation einschränken und Leseanfragen an Cloud Storage-Ressourcen zulassen
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Proxy-Administrator für ausgehenden Traffic der Organisation A zusammen, um Mitarbeiter zu beschränken, nur auf Ressourcen in ihrer Google Cloud-Organisation zuzugreifen. Hiervon ausgenommen sind Leseanfragen für Cloud Storage-Ressourcen.
Administratoren können die Leseanfragen an Cloud Storage-Ressourcen von der Erzwingung von Organisationseinschränkungen auslassen, damit ihre Mitarbeiter auf externe Websites zugreifen können, die Cloud Storage zum Hosten statischer Inhalte verwenden. Der Administrator verwendet die Option cloudStorageReadAllowed, um Leseanfragen an Cloud Storage-Ressourcen zuzulassen.
So beschränken Sie den Zugriff auf Ihre Organisation und erlauben Leseanfragen auf Cloud Storage-Ressourcen:
Verwenden Sie als Google Cloud-Administrator den Befehl
gcloud organizations list, um die Google Cloud-Organisations-ID von Organisation A abzurufen:gcloud organizations listIm Folgenden sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Proxyadministrator für ausgehenden Traffic die Organisations-ID vom Google Cloud-Administrator erhalten haben, stellen Sie die JSON-Darstellung für den Headerwert im folgenden Format zusammen:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lKonfigurieren Sie als Administrator für ausgehenden Traffic-Proxy den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lDie Mitarbeiter von Organisation A haben jetzt Zugriff auf ihre Google Cloud-Organisation und Lesezugriff auf Cloud Storage-Ressourcen.
Mitarbeitern den Zugriff auf die Google Cloud-Organisation eines Anbieters erlauben
In diesem Beispiel interagieren der Google Cloud-Administrator und der Proxy-Administrator für ausgehenden Traffic der Organisation B, damit Mitarbeiter zusätzlich zu ihrer vorhandenen Google Cloud-Organisation auf eine Google Cloud-Organisation des Anbieters zugreifen können.
So beschränken Sie den Mitarbeiterzugriff auf Ihre Organisation und die externe Organisation:
Wenden Sie sich als Google Cloud-Administrator an den Anbieter, um die Google Cloud-Organisations-ID der Anbieterorganisation zu erhalten.
Als Administrator für ausgehenden Traffic-Proxy müssen Sie die JSON-Darstellung für den Headerwert aktualisieren, um zusätzlich zur vorhandenen Organisations-ID die Anbieter-Organisations-ID aufzunehmen. Nachdem Sie die Organisations-ID des Anbieters vom Google Cloud-Administrator erhalten haben, aktualisieren Sie den Headerwert im folgenden Format:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KKonfigurieren Sie als Proxy-Administrator für ausgehenden Traffic den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation B stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KDie Mitarbeiter von Organisation B haben jetzt Zugriff auf den Anbieter und auf ihre Google Cloud-Organisationen.
Zugriff nur für Uploads einschränken
In diesem Beispiel arbeiten der Google Cloud-Administrator und der Administrator für ausgehenden Traffic-Proxy der Organisation C zusammen, um den Uploadzugriff von Mitarbeitern auf Ressourcen in der Google Cloud-Organisation zu beschränken.
So beschränken Sie den Uploadzugriff auf Ihre Organisation:
Verwenden Sie als Google Cloud-Administrator den Befehl
gcloud organizations list, um die Google Cloud-Organisations-ID der Organisation C abzurufen:gcloud organizations listIm Folgenden sehen Sie die Beispielausgabe:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Proxyadministrator für ausgehenden Traffic die Organisations-ID vom Google Cloud-Administrator erhalten haben, stellen Sie die JSON-Darstellung für den Headerwert im folgenden Format zusammen:
{ "resources": ["organizations/123456789"], "options": "strict" }Codieren Sie als Administrator für ausgehenden Traffic-Proxy den Wert für den Anfrageheader gemäß den Spezifikationen für RFC 4648, Abschnitt 5.
Wenn beispielsweise die JSON-Darstellung für den Headerwert in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoKonfigurieren Sie als Administrator für ausgehenden Traffic-Proxy den Proxy für ausgehenden Traffic so, dass der folgende Anfrageheader nur für Anfragen mit den Methoden PUT, POST und PATCH von den verwalteten Geräten in Organisation C eingefügt wird:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo