Auf dieser Seite finden Sie einige gängige Beispiele für die Verwendung von Organisationseinschränkungen.
Zugriff nur auf Ihre Organisation beschränken
In diesem Beispiel arbeiten der Google Cloud -Administrator und der Administrator des ausgehenden Proxys der Organisation A zusammen, um den Zugriff der Mitarbeiter auf Ressourcen in ihrerGoogle Cloud -Organisation einzuschränken.
So schränken Sie den Zugriff auf Ihre Organisation ein:
Als Google Cloud Administrator können Sie die Google Cloud Organisations-ID von Organisation A mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDie Beispielausgabe sieht so aus:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Google Cloud-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Zugriff auf Ihre Organisation einschränken und Leseanfragen für Cloud Storage-Ressourcen zulassen
In diesem Beispiel arbeiten der Google Cloud Administrator und der Administrator des ausgehenden Proxys von Organisation A zusammen, um den Zugriff der Mitarbeiter auf Ressourcen in ihrerGoogle Cloud Organisation einzuschränken, mit Ausnahme von Leseanfragen an Cloud Storage-Ressourcen.
Administratoren können Leseanfragen an Cloud Storage-Ressourcen von der Durchsetzung von Organisationsbeschränkungen ausschließen, damit ihre Mitarbeiter auf externe Websites zugreifen können, die statische Inhalte mit Cloud Storage hosten. Der Administrator verwendet die Option cloudStorageReadAllowed, um Leseanfragen an Cloud Storage-Ressourcen zuzulassen.
So beschränken Sie den Zugriff auf Ihre Organisation und erlauben Leseanfragen für Cloud Storage-Ressourcen:
Als Google Cloud Administrator können Sie die Google Cloud Organisations-ID von Organisation A mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDie Beispielausgabe sieht so aus:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Google Cloud-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lDie Mitarbeiter von Organisation A haben jetzt Zugriff auf ihre Google Cloud Organisation und Lesezugriff auf Cloud Storage-Ressourcen.
Mitarbeitern Zugriff auf eine Anbieterorganisation gewähren Google Cloud
In diesem Beispiel arbeiten der Google Cloud Administrator und der Administrator des ausgehenden Proxys von Organisation B zusammen, um Mitarbeitern Zugriff auf eine Google Cloud Kundenorganisation zusätzlich zu ihrer bestehenden Google Cloud Organisation zu ermöglichen.
So beschränken Sie den Mitarbeiterzugriff auf Ihre Organisation und die des Anbieters:
Als Google Cloud Administrator müssen Sie sich an den Anbieter wenden, um die Google CloudOrganisations-ID der Anbieterorganisation zu erhalten.
Wenn Sie als Administrator eines ausgehenden Proxys die Anbieterorganisations-ID zusätzlich zur vorhandenen Organisations-ID angeben möchten, müssen Sie die JSON-Darstellung für den Headerwert aktualisieren. Nachdem Sie die Anbieterorganisations-ID vom Google CloudAdministrator erhalten haben, aktualisieren Sie den Headerwert im folgenden Format:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation B stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KDie Mitarbeiter von Organisation B haben jetzt Zugriff auf den Anbieter und ihre Google Cloud Organisationen.
Zugriff nur für Uploads einschränken
In diesem Beispiel arbeiten der Google Cloud -Administrator und der Administrator des ausgehenden Proxys von Organisation C zusammen, um den Uploadzugriff der Mitarbeiter auf Ressourcen in derGoogle Cloud -Organisation einzuschränken.
So schränken Sie den Uploadzugriff auf Ihre Organisation ein:
Als Google Cloud Administrator können Sie die Google Cloud Organisations-ID von Organisation C mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDie Beispielausgabe sieht so aus:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Google Cloud-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader nur für Anfragen mit PUT-, POST- und PATCH-Methoden eingefügt wird, die von den verwalteten Geräten in Organisation C stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo