Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En esta página se describen varios ejemplos habituales de cómo usar las restricciones de organización.
Restringir el acceso solo a tu organización
En este ejemplo, el Google Cloud administrador y el administrador del proxy de salida de la organización AGoogle Cloud colaboran para restringir el acceso de los empleados únicamente a los recursos de su organización.
Para restringir el acceso solo a tu organización, sigue estos pasos:
Como Google Cloud administrador, para obtener el ID de organización de Google Cloud Organización A, usa el comando gcloud organizations list:
gcloud organizations list
A continuación, se muestra el resultado de ejemplo:
DISPLAY_NAME: Organization A
ID: 123456789
DIRECTORY_CUSTOMER_ID: a1b2c3d4
Como administrador del proxy de salida, después de obtener el ID de organización del Google Cloudadministrador, crea la representación JSON del valor del encabezado con el siguiente formato:
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando basenc:
Como administrador del proxy de salida, configura el proxy de salida de forma que se inserte el siguiente encabezado de solicitud en todas las solicitudes procedentes de los dispositivos gestionados de la organización A:
Restringir el acceso a tu organización y permitir solicitudes de lectura a recursos de Cloud Storage
En este ejemplo, el Google Cloud administrador y el administrador del proxy de salida de la organización AGoogle Cloud colaboran para restringir el acceso de los empleados solo a los recursos de su organización, excepto las solicitudes de lectura a los recursos de Cloud Storage.
Los administradores pueden querer omitir las solicitudes de lectura a los recursos de Cloud Storage de la aplicación de las restricciones de la organización para asegurarse de que sus empleados puedan acceder a sitios web externos que usen Cloud Storage para alojar contenido estático. El administrador usa la opción cloudStorageReadAllowed para permitir las solicitudes de lectura a los recursos de Cloud Storage.
Para restringir el acceso solo a tu organización y permitir solicitudes de lectura a recursos de Cloud Storage, haz lo siguiente:
Como Google Cloud administrador, para obtener el ID de organización de Google Cloud Organización A, usa el comando gcloud organizations list:
gcloud organizations list
A continuación, se muestra el resultado de ejemplo:
DISPLAY_NAME: Organization A
ID: 123456789
DIRECTORY_CUSTOMER_ID: a1b2c3d4
Como administrador del proxy de salida, después de obtener el ID de organización del Google Cloudadministrador, crea la representación JSON del valor del encabezado con el siguiente formato:
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando basenc:
Como administrador del proxy de salida, configura el proxy de salida de forma que se inserte el siguiente encabezado de solicitud en todas las solicitudes procedentes de los dispositivos gestionados de la organización A:
Los empleados de la organización A ahora tienen acceso a su Google Cloud organización
y acceso de lectura a los recursos de Cloud Storage.
Permitir que los empleados accedan a una organización de proveedores Google Cloud
En este ejemplo, el administrador de Google Cloud y el administrador del proxy de salida de la organización B colaboran para permitir que los empleados accedan a la organización del proveedor Google Cloud , además de a su organización Google Cloud .
Para restringir el acceso de los empleados solo a tu organización y a la del proveedor, haz lo siguiente:
Como Google Cloud administrador, ponte en contacto con el proveedor para obtener el Google CloudID de organización del proveedor.
Como administrador de proxy de salida, para incluir el ID de la organización del proveedor además del ID de la organización, debe actualizar la representación JSON del valor del encabezado. Una vez que el administrador te haya proporcionado el ID de la organización del proveedor, actualiza el valor del encabezado con el siguiente formato: Google Cloud
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando basenc:
Como administrador del proxy de salida, configura el proxy de salida de forma que se inserte el siguiente encabezado de solicitud en todas las solicitudes procedentes de los dispositivos gestionados de la organización B:
Los empleados de la organización B ahora tienen acceso tanto al proveedor como a sus organizaciones. Google Cloud
Restringir el acceso solo a las subidas
En este ejemplo, el Google Cloud administrador y el administrador del proxy de salida de la organización CGoogle Cloud colaboran para restringir el acceso de los empleados a la subida de contenido solo a los recursos de la organización.
Para restringir el acceso a la subida solo a tu organización, haz lo siguiente:
Como administrador de Google Cloud , para obtener el ID de organización de Google Cloud Organización C, usa el comando gcloud organizations list:
gcloud organizations list
A continuación, se muestra el resultado de ejemplo:
DISPLAY_NAME: Organization C
ID: 123456789
DIRECTORY_CUSTOMER_ID: a1b2c3d4
Como administrador del proxy de salida, después de obtener el ID de organización del Google Cloudadministrador, crea la representación JSON del valor del encabezado con el siguiente formato:
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando basenc:
Como administrador del proxy de salida, configura el proxy de salida de forma que el siguiente encabezado de solicitud se inserte solo en las solicitudes con los métodos PUT, POST y PATCH que procedan de los dispositivos gestionados de la organización C:
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["# Examples of organization restrictions\n\nThis page describes several common examples of how to use organization restrictions.\n\nRestrict access only to your organization\n-----------------------------------------\n\nIn this example, the Google Cloud administrator and egress proxy administrator of\nOrganization A engage together to restrict employees to only access resources in their\nGoogle Cloud organization.\n\nTo restrict access only to your organization, do the following:\n\n1. As a Google Cloud administrator, to get the Google Cloud organization ID of\n Organization A, use the [`gcloud organizations list` command](/sdk/gcloud/reference/organizations/list):\n\n gcloud organizations list\n\n The following is the example output: \n\n ```\n DISPLAY_NAME: Organization A\n ID: 123456789\n DIRECTORY_CUSTOMER_ID: a1b2c3d4\n ```\n2. As an egress proxy administrator, after you get the organization ID from the Google Cloud\n administrator, compose the JSON representation for the header value in the following format:\n\n {\n \"resources\": [\"organizations/123456789\"],\n \"options\": \"strict\"\n }\n\n3. As an egress proxy administrator, encode the value for the request header by following the [RFC 4648 Section 5 specifications](https://datatracker.ietf.org/doc/html/rfc4648#section-5).\n\n For example, if the JSON representation for the header value is stored in the\n `authorized_orgs.json` file, to encode the file, run the following\n [basenc](https://man7.org/linux/man-pages/man1/basenc.1.html) command: \n\n $ cat authorized_orgs.json | basenc --base64url -w0\n ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo\n\n4. As an egress proxy administrator, configure the egress proxy such that the following\n request header is inserted in all of the requests originating from the managed devices\n in Organization A:\n\n X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo\n\nRestrict access to your organization and allow read requests to Cloud Storage resources\n---------------------------------------------------------------------------------------\n\nIn this example, the Google Cloud administrator and egress proxy administrator of\nOrganization A engage together to restrict employees to only access resources in their\nGoogle Cloud organization, except for read requests to Cloud Storage resources.\nAdministrators might want to omit read requests to Cloud Storage resources from\norganization restrictions enforcement to ensure that their employees can access\nexternal websites that use Cloud Storage to host static content. The administrator\nuses the `cloudStorageReadAllowed` option to allow read requests to Cloud Storage resources.\n\nTo restrict access only to your organization and allow read requests to Cloud Storage\nresources, do the following:\n\n1. As a Google Cloud administrator, to get the Google Cloud organization ID of\n Organization A, use the [`gcloud organizations list` command](/sdk/gcloud/reference/organizations/list):\n\n gcloud organizations list\n\n The following is the example output: \n\n ```\n DISPLAY_NAME: Organization A\n ID: 123456789\n DIRECTORY_CUSTOMER_ID: a1b2c3d4\n ```\n2. As an egress proxy administrator, after you get the organization ID from the Google Cloud\n administrator, compose the JSON representation for the header value in the following format:\n\n {\n \"resources\": [\"organizations/123456789\"],\n \"options\": \"cloudStorageReadAllowed\"\n }\n\n3. As an egress proxy administrator, encode the value for the request header by following the [RFC 4648 Section 5 specifications](https://datatracker.ietf.org/doc/html/rfc4648#section-5).\n\n For example, if the JSON representation for the header value is stored in the\n `authorized_orgs.json` file, to encode the file, run the following\n [basenc](https://man7.org/linux/man-pages/man1/basenc.1.html) command: \n\n $ cat authorized_orgs.json | basenc --base64url -w0\n ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l\n\n4. As an egress proxy administrator, configure the egress proxy such that the following\n request header is inserted in all of the requests originating from the managed devices\n in Organization A:\n\n X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l\n\n The employees of Organization A now have access to their Google Cloud organization\n and read access to Cloud Storage resources.\n\nAllow employees access to a vendor Google Cloud organization\n------------------------------------------------------------\n\nIn this example, the Google Cloud administrator and egress proxy administrator of\nOrganization B engage together to allow employees to access a vendor Google Cloud organization\nin addition to their existing Google Cloud organization.\n\nTo restrict employee access only to your organization and the vendor organization, do the following:\n\n1. As a Google Cloud administrator, engage with the vendor to get the Google Cloud\n organization ID of the vendor organization.\n\n2. As an egress proxy administrator, to include the vendor organization ID in addition\n to the existing organization ID, you must update the JSON representation for\n the header value. After you get the vendor organization ID from the Google Cloud\n administrator, update the header value in the following format:\n\n {\n \"resources\": [\"organizations/1234\", \"organizations/3456\"],\n \"options\": \"strict\"\n }\n\n3. As an egress proxy administrator, encode the value for the request header by following the [RFC 4648 Section 5 specifications](https://datatracker.ietf.org/doc/html/rfc4648#section-5).\n\n For example, if the JSON representation for the header value is stored in the\n `authorized_orgs.json` file, to encode the file, run the following\n [basenc](https://man7.org/linux/man-pages/man1/basenc.1.html) command: \n\n $ cat authorized_orgs.json | basenc --base64url -w0\n ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K\n\n4. As an egress proxy administrator, configure the egress proxy such that the following\n request header is inserted in all of the requests originating from the managed devices\n in Organization B:\n\n X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K\n\n The employees of Organization B now have access to both the vendor and their Google Cloud organizations.\n\nRestrict access only for uploads\n--------------------------------\n\nIn this example, the Google Cloud administrator and egress proxy administrator of\nOrganization C engage together to restrict upload access of employees only to resources in the\nGoogle Cloud organization.\n\nTo restrict upload access only to your organization, do the following:\n\n1. As a Google Cloud administrator, to get the Google Cloud organization ID of\n Organization C, use the [`gcloud organizations list` command](/sdk/gcloud/reference/organizations/list):\n\n gcloud organizations list\n\n The following is the example output: \n\n ```\n DISPLAY_NAME: Organization C\n ID: 123456789\n DIRECTORY_CUSTOMER_ID: a1b2c3d4\n ```\n2. As an egress proxy administrator, after you get the organization ID from the Google Cloud\n administrator, compose the JSON representation for the header value in the following format:\n\n {\n \"resources\": [\"organizations/123456789\"],\n \"options\": \"strict\"\n }\n\n3. As an egress proxy administrator, encode the value for the request header by following the [RFC 4648 Section 5 specifications](https://datatracker.ietf.org/doc/html/rfc4648#section-5).\n\n For example, if the JSON representation for the header value is stored in the\n `authorized_orgs.json` file, to encode the file, run the following\n [basenc](https://man7.org/linux/man-pages/man1/basenc.1.html) command: \n\n $ cat authorized_orgs.json | basenc --base64url -w0\n ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo\n\n4. As an egress proxy administrator, configure the egress proxy such that the following\n request header is inserted only for requests with PUT, POST, and PATCH methods\n originating from the managed devices in Organization C:\n\n X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo\n\nWhat's next\n-----------\n\n- Learn about the [services supported by organization restrictions](/resource-manager/docs/organization-restrictions/supported-services)."]]
