조직 액세스 제한의 예시

이 페이지에서는 조직 액세스 제한을 사용하는 방법의 몇 가지 일반적인 예시를 설명합니다.

사용자의 조직으로 액세스 제한

이 예시에서 조직 A의 Google Cloud 관리자와 이그레스 프록시 관리자는 서로 협력하여 직원들이 해당 Google Cloud 조직의 리소스에만 액세스하도록 제한합니다.

사용자의 조직으로만 액세스를 제한하려면 다음 단계를 따르세요.

  1. Google Cloud 관리자로서 조직 A의 Google Cloud 조직 ID를 가져오려면 gcloud organizations list 명령어를 사용하세요.

        gcloud organizations list
    
    

    출력 예시는 다음과 같습니다.

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 이그레스 프록시 관리자는 Google Cloud 관리자로부터 조직 ID를 가져온 후 다음 형식으로 헤더 값의 JSON 표현을 작성합니다.

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. 이그레스 프록시 관리자는 RFC 4648 섹션 5 사양에 따라 요청 헤더의 값을 인코딩합니다.

    예를 들어 헤더 값의 JSON 표현이 authorized_orgs.json 파일에 저장된 경우 파일을 인코딩하려면 다음 basenc 명령어를 실행합니다.

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. 이그레스 프록시 관리자는 다음 요청 헤더가 조직 A의 관리 기기에서 발생한 모든 요청에 삽입되도록 이그레스 프록시를 구성합니다.

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

조직에 대한 액세스를 제한하고 Cloud Storage 리소스에 대한 읽기 요청 허용

이 예시에서는 조직 A의 이그레스 프록시 관리자와 Google Cloud 관리자가 협력하여 직원들이 Cloud Storage 리소스에 대한 읽기 요청을 제외하고 해당 Google Cloud 조직의 리소스에만 액세스하도록 제한하는 것을 보여줍니다. 관리자는 직원들이 Cloud Storage를 사용하여 정적 콘텐츠를 호스팅하는 외부 웹사이트에 액세스할 수 있도록 조직 액세스 제한 시행에서 Cloud Storage 리소스에 대한 읽기 요청을 생략해야 할 수 있습니다. 관리자는 cloudStorageReadAllowed 옵션을 사용하여 Cloud Storage 리소스에 대한 읽기 요청을 허용합니다.

조직에만 액세스를 제한하고 Cloud Storage 리소스에 대한 읽기 요청을 허용하려면 다음을 수행합니다.

  1. Google Cloud 관리자로서 조직 A의 Google Cloud 조직 ID를 가져오려면 gcloud organizations list 명령어를 사용하세요.

        gcloud organizations list
    

    출력 예시는 다음과 같습니다.

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 이그레스 프록시 관리자는 Google Cloud 관리자로부터 조직 ID를 가져온 후 다음 형식으로 헤더 값의 JSON 표현을 작성합니다.

     {
     "resources": ["organizations/123456789"],
      "options": "cloudStorageReadAllowed"
     }
    
  3. 이그레스 프록시 관리자는 RFC 4648 섹션 5 사양에 따라 요청 헤더의 값을 인코딩합니다.

    예를 들어 헤더 값의 JSON 표현이 authorized_orgs.json 파일에 저장된 경우 파일을 인코딩하려면 다음 basenc 명령어를 실행합니다.

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    
  4. 이그레스 프록시 관리자는 다음 요청 헤더가 조직 A의 관리 기기에서 발생한 모든 요청에 삽입되도록 이그레스 프록시를 구성합니다.

     X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    

    이제 조직 A의 직원이 Google Cloud 조직에 액세스할 수 있으며 Cloud Storage 리소스에 대한 읽기 액세스 권한을 갖습니다.

직원이 공급업체의 Google Cloud 조직에 액세스하도록 허용

이 예시에서 조직 B의 Google Cloud 관리자와 이그레스 프록시 관리자는 직원이 기존 Google Cloud 조직 외에 공급업체의 Google Cloud 조직에도 액세스할 수 있도록 협력합니다.

직원 액세스를 조직 및 공급업체 조직으로만 제한하려면 다음을 수행합니다.

  1. Google Cloud 관리자는 공급업체에 문의하여 공급업체 조직의 Google Cloud 조직 ID를 가져옵니다.

  2. 이그레스 프록시 관리자는 기존 조직 ID 외에도 공급업체 조직 ID를 포함하려면 헤더 값의 JSON 표현을 업데이트해야 합니다. Google Cloud 관리자로부터 공급업체 조직 ID를 가져온 후 다음 형식으로 헤더 값을 업데이트합니다.

     {
     "resources": ["organizations/1234", "organizations/3456"],
      "options": "strict"
     }
    
  3. 이그레스 프록시 관리자는 RFC 4648 섹션 5 사양에 따라 요청 헤더의 값을 인코딩합니다.

    예를 들어 헤더 값의 JSON 표현이 authorized_orgs.json 파일에 저장된 경우 파일을 인코딩하려면 다음 basenc 명령어를 실행합니다.

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    
  4. 이그레스 프록시 관리자는 조직 B의 관리 기기에서 발생하는 모든 요청에 다음 요청 헤더가 삽입되도록 이그레스 프록시를 구성합니다.

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    

    이제 조직 B의 직원이 공급업체와 Google Cloud 조직에 모두 액세스할 수 있습니다.

업로드에 대해서만 액세스 제한

이 예시에서는 조직 C의 Google Cloud 관리자와 이그레스 프록시 관리자가 협력하여 직원의 업로드 액세스를 Google Cloud 조직의 리소스로만 제한합니다.

조직에서만 업로드 액세스를 제한하려면 다음 단계를 따르세요.

  1. Google Cloud 관리자로서 조직 C의 Google Cloud 조직 ID를 가져오려면 gcloud organizations list 명령어를 사용하세요.

        gcloud organizations list
    

    출력 예시는 다음과 같습니다.

        DISPLAY_NAME: Organization C
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 이그레스 프록시 관리자는 Google Cloud 관리자로부터 조직 ID를 가져온 후 다음 형식으로 헤더 값의 JSON 표현을 작성합니다.

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. 이그레스 프록시 관리자는 RFC 4648 섹션 5 사양에 따라 요청 헤더의 값을 인코딩합니다.

    예를 들어 헤더 값의 JSON 표현이 authorized_orgs.json 파일에 저장된 경우 파일을 인코딩하려면 다음 basenc 명령어를 실행합니다.

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. 이그레스 프록시 관리자는 조직 C의 관리 기기에서 발생한 PUT, POST, PATCH 메서드가 있는 요청에 대해서만 다음 요청 헤더가 삽입되도록 이그레스 프록시를 구성합니다.

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

다음 단계