Ejemplos de restricciones de la organización

En esta página, se describen varios ejemplos comunes de cómo usar las restricciones de organización.

Restringe el acceso solo a tu organización

En este ejemplo, el administrador de Google Cloud y el administrador de proxy de salida de la Organización A trabajan juntos para restringir el acceso de los empleados solo a los recursos de su organizaciónGoogle Cloud .

Para restringir el acceso solo a tu organización, haz lo siguiente:

  1. Como Google Cloud administrador, para obtener el Google Cloud ID de la organización de la Organización A, usa el comando gcloud organizations list:

        gcloud organizations list
    
    

    El siguiente es el resultado de ejemplo:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, escribe la representación JSON para el valor del encabezado en el siguiente formato:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

    Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. Como administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización A:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

Restringe el acceso a tu organización y permite solicitudes de lectura a los recursos de Cloud Storage

En este ejemplo, el Google Cloud administrador y el administrador de proxy de salida de la Organización A trabajan juntos para restringir el acceso de los empleados solo a los recursos de su Google Cloud organización, excepto para las solicitudes de lectura a los recursos de Cloud Storage. Es posible que los administradores deseen omitir las solicitudes de lectura a los recursos de Cloud Storage de la aplicación forzosa de restricciones de la organización para garantizar que sus empleados puedan acceder a sitios web externos que usan Cloud Storage para alojar contenido estático. El administrador usa la opción cloudStorageReadAllowed para permitir solicitudes de lectura a los recursos de Cloud Storage.

Para restringir el acceso solo a tu organización y permitir solicitudes de lectura a los recursos de Cloud Storage, haz lo siguiente:

  1. Como Google Cloud administrador, para obtener el Google Cloud ID de la organización de la Organización A, usa el comando gcloud organizations list:

        gcloud organizations list
    

    El siguiente es el resultado de ejemplo:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, escribe la representación JSON para el valor del encabezado en el siguiente formato:

     {
     "resources": ["organizations/123456789"],
      "options": "cloudStorageReadAllowed"
     }
    
  3. Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

    Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    
  4. Como administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización A:

     X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    

    Los empleados de la organización A ahora tienen acceso a su Google Cloud organización y acceso de lectura a los recursos de Cloud Storage.

Permite que los empleados accedan a una organización Google Cloud de proveedores

En este ejemplo, el administrador Google Cloud y el administrador de proxy de salida de la Organización B trabajan juntos para permitir que los empleados accedan a una organización Google Cloud de proveedores, además de su organización Google Cloud existente.

Para restringir el acceso de los empleados solo a tu organización y a la organización del proveedor, haz lo siguiente:

  1. Como Google Cloud administrador, comunícate con el proveedor para obtener el Google Cloud ID de organización de la organización del proveedor.

  2. Como administrador de proxy de salida, para incluir el ID de la organización del proveedor además del ID de la organización existente, debes actualizar la representación JSON del valor del encabezado. Después de obtener el ID de la organización del proveedor del administrador de Google Cloud, actualiza el valor del encabezado con el siguiente formato:

     {
     "resources": ["organizations/1234", "organizations/3456"],
      "options": "strict"
     }
    
  3. Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

    Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    
  4. Como administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización B:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    

    Los empleados de la organización B ahora tienen acceso al proveedor y a sus Google Cloud organizaciones.

Restringe el acceso solo para las cargas

En este ejemplo, el administrador de Google Cloud y el administrador de proxy de salida de la Organización C trabajan juntos para restringir el acceso de carga de los empleados solo a los recursos de la organizaciónGoogle Cloud .

Para restringir el acceso de carga solo a tu organización, haz lo siguiente:

  1. Como Google Cloud administrador, para obtener el Google Cloud ID de la organización de la Organización C, usa el comando gcloud organizations list:

        gcloud organizations list
    

    El siguiente es el resultado de ejemplo:

        DISPLAY_NAME: Organization C
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Google Cloud, escribe la representación JSON para el valor del encabezado en el siguiente formato:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

    Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. Como administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte solo para las solicitudes con métodos PUT, POST y PATCH que se originen en los dispositivos administrados de la organización C:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

¿Qué sigue?