Contoh pembatasan organisasi

Halaman ini menjelaskan beberapa contoh umum tentang cara menggunakan batasan organisasi.

Batasi akses hanya untuk organisasi Anda

Dalam contoh ini, administrator Google Cloud dan administrator proxy traffic keluar Organisasi A berinteraksi bersama untuk membatasi karyawan agar hanya mengakses resource di organisasi Google Cloud mereka.

Untuk membatasi akses hanya ke organisasi Anda, lakukan hal berikut:

1. Sebagai administrator Google Cloud, untuk mendapatkan ID organisasi Google Cloud Organisasi A, gunakan perintah gcloud organizations list:

       gcloud organizations list
   
   

   Berikut adalah contoh output-nya:

       DISPLAY_NAME: Organization A
       ID: 123456789
       DIRECTORY_CUSTOMER_ID: a1b2c3d4
   

2. Sebagai administrator proxy traffic keluar, setelah Anda mendapatkan ID organisasi dari administrator Google Cloud, buat representasi JSON untuk nilai header dalam format berikut:

    {
    "resources": ["organizations/123456789"],
     "options": "strict"
    }
   

3. Sebagai administrator proxy traffic keluar, enkode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

   Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:

    $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

4. Sebagai administrator proxy traffic keluar, konfigurasikan proxy traffic keluar sehingga header permintaan berikut dimasukkan ke semua permintaan yang berasal dari perangkat terkelola di Organisasi A:

    X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

Membatasi akses ke organisasi Anda dan mengizinkan permintaan baca ke resource Cloud Storage

Dalam contoh ini, administrator Google Cloud dan administrator proxy traffic keluar Organisasi A berinteraksi bersama untuk membatasi karyawan agar hanya mengakses resource di organisasi Google Cloud mereka, kecuali untuk permintaan baca ke resource Cloud Storage. Administrator mungkin ingin menghapus permintaan baca ke resource Cloud Storage dari penerapan pembatasan organisasi untuk memastikan karyawan mereka dapat mengakses situs eksternal yang menggunakan Cloud Storage untuk menghosting konten statis. Administrator menggunakan opsi cloudStorageReadAllowed untuk mengizinkan permintaan baca ke resource Cloud Storage.

Untuk membatasi akses hanya ke organisasi Anda dan mengizinkan permintaan baca ke resource Cloud Storage, lakukan hal berikut:

1. Sebagai administrator Google Cloud, untuk mendapatkan ID organisasi Google Cloud Organisasi A, gunakan perintah gcloud organizations list:

       gcloud organizations list
   

   Berikut adalah contoh output-nya:

       DISPLAY_NAME: Organization A
       ID: 123456789
       DIRECTORY_CUSTOMER_ID: a1b2c3d4
   

2. Sebagai administrator proxy traffic keluar, setelah Anda mendapatkan ID organisasi dari administrator Google Cloud, buat representasi JSON untuk nilai header dalam format berikut:

    {
    "resources": ["organizations/123456789"],
     "options": "cloudStorageReadAllowed"
    }
   

3. Sebagai administrator proxy traffic keluar, enkode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

   Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:

    $ cat authorized_orgs.json | basenc --base64url -w0
   ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
   

4. Sebagai administrator proxy traffic keluar, konfigurasikan proxy traffic keluar sehingga header permintaan berikut dimasukkan ke semua permintaan yang berasal dari perangkat terkelola di Organisasi A:

    X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
   

   Karyawan Organisasi A kini memiliki akses ke organisasi Google Cloud mereka dan akses baca ke resource Cloud Storage.

Mengizinkan karyawan mengakses organisasi Google Cloud vendor

Dalam contoh ini, administrator Google Cloud dan administrator proxy traffic keluar Organisasi B berinteraksi bersama untuk memungkinkan karyawan mengakses organisasi Google Cloud vendor selain organisasi Google Cloud mereka yang sudah ada.

Untuk membatasi akses karyawan hanya ke organisasi Anda dan organisasi vendor, lakukan tindakan berikut:

1. Sebagai administrator Google Cloud, berinteraksilah dengan vendor untuk mendapatkan ID organisasi Google Cloud organisasi vendor.

2. Sebagai administrator proxy keluar, selain ID organisasi yang ada, Anda harus memperbarui representasi JSON untuk nilai header agar dapat menyertakan ID organisasi vendor. Setelah mendapatkan ID organisasi vendor dari administrator Google Cloud, perbarui nilai header dalam format berikut:

    {
    "resources": ["organizations/1234", "organizations/3456"],
     "options": "strict"
    }
   

3. Sebagai administrator proxy traffic keluar, enkode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

   Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:

    $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
   

4. Sebagai administrator proxy traffic keluar, konfigurasikan proxy traffic keluar sehingga header permintaan berikut dimasukkan ke semua permintaan yang berasal dari perangkat terkelola di Organisasi B:

    X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
   

   Karyawan Organisasi B kini memiliki akses ke vendor dan organisasi Google Cloud mereka.

Batasi akses hanya untuk upload

Dalam contoh ini, administrator Google Cloud dan administrator proxy keluar dari Organisasi C bekerja sama untuk membatasi akses upload karyawan hanya ke resource di organisasi Google Cloud.

Untuk membatasi akses upload hanya ke organisasi Anda, lakukan hal berikut:

1. Sebagai administrator Google Cloud, untuk mendapatkan ID organisasi Google Cloud Organisasi C, gunakan perintah gcloud organizations list:

       gcloud organizations list
   

   Berikut adalah contoh output-nya:

       DISPLAY_NAME: Organization C
       ID: 123456789
       DIRECTORY_CUSTOMER_ID: a1b2c3d4
   

2. Sebagai administrator proxy traffic keluar, setelah Anda mendapatkan ID organisasi dari administrator Google Cloud, buat representasi JSON untuk nilai header dalam format berikut:

    {
    "resources": ["organizations/123456789"],
     "options": "strict"
    }
   

3. Sebagai administrator proxy traffic keluar, enkode nilai untuk header permintaan dengan mengikuti spesifikasi RFC 4648 Bagian 5.

   Misalnya, jika representasi JSON untuk nilai header disimpan dalam file authorized_orgs.json, untuk mengenkode file, jalankan perintah basenc berikut:

    $ cat authorized_orgs.json | basenc --base64url -w0
   ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

4. Sebagai administrator proxy traffic keluar, konfigurasikan proxy traffic keluar sehingga header permintaan berikut hanya disisipkan untuk permintaan dengan metode PUT, POST, dan PATCH yang berasal dari perangkat terkelola di Organisasi C:

    X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

Langkah selanjutnya

• Pelajari layanan yang didukung oleh pembatasan organisasi.