En esta página, se describen varios ejemplos comunes de cómo usar las restricciones de organización.
Restringe el acceso solo a tu organización
En este ejemplo, el administrador de Google Cloud y el administrador de proxy de salida de la Organización A trabajan juntos para restringir el acceso de los empleados solo a los recursos de su organizaciónGoogle Cloud .
Para restringir el acceso solo a tu organización, haz lo siguiente:
Como Google Cloud administrador, para obtener el Google Cloud ID de la organización de la Organización A, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es el resultado de ejemplo:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, escribe la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restringe el acceso a tu organización y permite solicitudes de lectura a los recursos de Cloud Storage
En este ejemplo, el Google Cloud administrador y el administrador de proxy de salida de la
Organización A trabajan juntos para restringir el acceso de los empleados solo a los recursos de su
Google Cloud organización, excepto para las solicitudes de lectura a los recursos de Cloud Storage.
Es posible que los administradores deseen omitir las solicitudes de lectura a los recursos de Cloud Storage de la aplicación forzosa de restricciones de la organización para garantizar que sus empleados puedan acceder a sitios web externos que usan Cloud Storage para alojar contenido estático. El administrador usa la opción cloudStorageReadAllowed para permitir solicitudes de lectura a los recursos de Cloud Storage.
Para restringir el acceso solo a tu organización y permitir solicitudes de lectura a los recursos de Cloud Storage, haz lo siguiente:
Como Google Cloud administrador, para obtener el Google Cloud ID de la organización de la Organización A, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es el resultado de ejemplo:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, escribe la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lLos empleados de la organización A ahora tienen acceso a su Google Cloud organización y acceso de lectura a los recursos de Cloud Storage.
Permite que los empleados accedan a una organización Google Cloud de proveedores
En este ejemplo, el administrador Google Cloud y el administrador de proxy de salida de la Organización B trabajan juntos para permitir que los empleados accedan a una organización Google Cloud de proveedores, además de su organización Google Cloud existente.
Para restringir el acceso de los empleados solo a tu organización y a la organización del proveedor, haz lo siguiente:
Como Google Cloud administrador, comunícate con el proveedor para obtener el Google Cloud ID de organización de la organización del proveedor.
Como administrador de proxy de salida, para incluir el ID de la organización del proveedor además del ID de la organización existente, debes actualizar la representación JSON del valor del encabezado. Después de obtener el ID de la organización del proveedor del administrador de Google Cloud, actualiza el valor del encabezado con el siguiente formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KLos empleados de la organización B ahora tienen acceso al proveedor y a sus Google Cloud organizaciones.
Restringe el acceso solo para las cargas
En este ejemplo, el administrador de Google Cloud y el administrador de proxy de salida de la Organización C trabajan juntos para restringir el acceso de carga de los empleados solo a los recursos de la organizaciónGoogle Cloud .
Para restringir el acceso de carga solo a tu organización, haz lo siguiente:
Como Google Cloud administrador, para obtener el Google Cloud ID de la organización de la Organización C, usa el comando
gcloud organizations list:gcloud organizations listEl siguiente es el resultado de ejemplo:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, escribe la representación JSON para el valor del encabezado en el siguiente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.
Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo
authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte solo para las solicitudes con métodos PUT, POST y PATCH que se originen en los dispositivos administrados de la organización C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
¿Qué sigue?
- Obtén más información sobre los servicios compatibles con las restricciones de la organización.