Esempi di restrizioni dell'organizzazione

In questa pagina vengono descritti diversi esempi comuni di come utilizzare le restrizioni dell'organizzazione.

Limitare l'accesso solo alla tua organizzazione

In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita dell'organizzazione A si impegnano per impedire ai dipendenti di accedere solo alle risorse nella loro organizzazione Google Cloud.

Per limitare l'accesso solo alla tua organizzazione:

  1. In qualità di amministratore di Google Cloud, per ottenere l'ID organizzazione Google Cloud dell'organizzazione A, utilizza il comando gcloud organizations list:

        gcloud organizations list
    
    

    Di seguito è riportato l'output di esempio:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. In qualità di amministratore del proxy in uscita, dopo aver ottenuto l'ID organizzazione dall'amministratore di Google Cloud, componi la rappresentazione JSON per il valore dell'intestazione nel seguente formato:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche della sezione 5 di RFC 4648.

    Ad esempio, se la rappresentazione JSON per il valore di intestazione è archiviata nel file authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. In qualità di amministratore del proxy in uscita, configura il proxy in uscita in modo che la seguente intestazione della richiesta venga inserita in tutte le richieste provenienti dai dispositivi gestiti nell'organizzazione A:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

Limita l'accesso alla tua organizzazione e consenti richieste di lettura alle risorse Cloud Storage

In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita dell'organizzazione A si impegnano per limitare l'accesso dei dipendenti solo alle risorse nella loro organizzazione Google Cloud, ad eccezione delle richieste di lettura alle risorse Cloud Storage. Gli amministratori potrebbero voler omettere le richieste di lettura alle risorse Cloud Storage dall'applicazione di restrizioni dell'organizzazione per garantire che i loro dipendenti possano accedere a siti web esterni che utilizzano Cloud Storage per ospitare contenuti statici. L'amministratore utilizza l'opzione cloudStorageReadAllowed per consentire le richieste di lettura alle risorse Cloud Storage.

Per limitare l'accesso solo alla tua organizzazione e consentire le richieste di lettura alle risorse Cloud Storage, segui questi passaggi:

  1. In qualità di amministratore di Google Cloud, per ottenere l'ID organizzazione Google Cloud dell'organizzazione A, utilizza il comando gcloud organizations list:

        gcloud organizations list
    

    Di seguito è riportato l'output di esempio:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. In qualità di amministratore del proxy in uscita, dopo aver ottenuto l'ID organizzazione dall'amministratore di Google Cloud, componi la rappresentazione JSON per il valore dell'intestazione nel seguente formato:

     {
     "resources": ["organizations/123456789"],
      "options": "cloudStorageReadAllowed"
     }
    
  3. In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche della sezione 5 di RFC 4648.

    Ad esempio, se la rappresentazione JSON per il valore di intestazione è archiviata nel file authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    
  4. In qualità di amministratore del proxy in uscita, configura il proxy in uscita in modo che la seguente intestazione della richiesta venga inserita in tutte le richieste provenienti dai dispositivi gestiti nell'organizzazione A:

     X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    

    I dipendenti dell'organizzazione A ora hanno accesso all'organizzazione Google Cloud e accesso in lettura alle risorse di Cloud Storage.

Consenti ai dipendenti di accedere a un'organizzazione Google Cloud del fornitore

In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita dell'organizzazione B si impegnano per consentire ai dipendenti di accedere a un'organizzazione Google Cloud del fornitore oltre alla loro organizzazione Google Cloud esistente.

Per limitare l'accesso dei dipendenti solo alla tua organizzazione e all'organizzazione del fornitore:

  1. In qualità di amministratore di Google Cloud, collabora con il fornitore per ottenere l'ID organizzazione Google Cloud dell'organizzazione del fornitore.

  2. In qualità di amministratore del proxy in uscita, per includere l'ID organizzazione del fornitore oltre all'ID organizzazione esistente devi aggiornare la rappresentazione JSON per il valore dell'intestazione. Dopo aver ottenuto l'ID organizzazione del fornitore dall'amministratore di Google Cloud, aggiorna il valore dell'intestazione nel seguente formato:

     {
     "resources": ["organizations/1234", "organizations/3456"],
      "options": "strict"
     }
    
  3. In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche della sezione 5 di RFC 4648.

    Ad esempio, se la rappresentazione JSON per il valore di intestazione è archiviata nel file authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    
  4. In qualità di amministratore del proxy in uscita, configura il proxy in uscita in modo che la seguente intestazione della richiesta venga inserita in tutte le richieste provenienti dai dispositivi gestiti nell'organizzazione B:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    

    I dipendenti dell'organizzazione B ora hanno accesso sia al fornitore sia alle loro organizzazioni Google Cloud.

Limitare l'accesso solo per i caricamenti

In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita dell'organizzazione C si impegnano per limitare l'accesso in caricamento dei dipendenti solo alle risorse nell'organizzazione Google Cloud.

Per limitare l'accesso al caricamento solo alla tua organizzazione:

  1. In qualità di amministratore di Google Cloud, per ottenere l'ID organizzazione Google Cloud dell'organizzazione C, utilizza il comando gcloud organizations list:

        gcloud organizations list
    

    Di seguito è riportato l'output di esempio:

        DISPLAY_NAME: Organization C
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. In qualità di amministratore del proxy in uscita, dopo aver ottenuto l'ID organizzazione dall'amministratore di Google Cloud, componi la rappresentazione JSON per il valore dell'intestazione nel seguente formato:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche della sezione 5 di RFC 4648.

    Ad esempio, se la rappresentazione JSON per il valore di intestazione è archiviata nel file authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. In qualità di amministratore del proxy in uscita, configura il proxy in uscita in modo che la seguente intestazione della richiesta venga inserita solo per le richieste con metodi PUT, POST e PATCH provenienti dai dispositivi gestiti nell'organizzazione C:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

Passaggi successivi