Esta página descreve vários exemplos comuns de como usar restrições da organização.
Restrinja o acesso apenas à sua organização
Neste exemplo, o Google Cloud administrador e o administrador do proxy de saída da organização A colaboram para restringir o acesso dos funcionários apenas aos recursos na respetiva Google Cloud organização.
Para restringir o acesso apenas à sua organização, faça o seguinte:
Como Google Cloud administrador, para obter o Google Cloud ID da organização da organização A, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Google Cloud administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restrinja o acesso à sua organização e permita pedidos de leitura aos recursos do Cloud Storage
Neste exemplo, o administrador e o administrador do proxy de saída da organização A colaboram para restringir o acesso dos funcionários apenas aos recursos na respetiva organização, exceto para pedidos de leitura de recursos do Cloud Storage. Google Cloud Google Cloud
Os administradores podem querer omitir pedidos de leitura a recursos do Cloud Storage da aplicação de restrições da organização para garantir que os respetivos funcionários podem aceder a Websites externos que usam o Cloud Storage para alojar conteúdo estático. O administrador
usa a opção cloudStorageReadAllowed para permitir pedidos de leitura a recursos do Cloud Storage.
Para restringir o acesso apenas à sua organização e permitir pedidos de leitura a recursos do Cloud Storage, faça o seguinte:
Como Google Cloud administrador, para obter o Google Cloud ID da organização da organização A, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Google Cloud administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lOs funcionários da organização A têm agora acesso à respetiva Google Cloud organização e acesso de leitura aos recursos do Cloud Storage.
Permitir que os funcionários acedam a uma organização Google Cloud de fornecedores
Neste exemplo, o Google Cloud administrador e o administrador do proxy de saída da organização B colaboram para permitir que os funcionários acedam a uma organização Google Cloud de fornecedores, além da respetiva organização Google Cloud existente.
Para restringir o acesso dos funcionários apenas à sua organização e à organização do fornecedor, faça o seguinte:
Como Google Cloud administrador, interaja com o fornecedor para obter o Google Cloud ID da organização do fornecedor.
Como administrador do proxy de saída, para incluir o ID da organização do fornecedor, além do ID da organização existente, tem de atualizar a representação JSON do valor do cabeçalho. Depois de receber o ID da organização do fornecedor do Google Cloud administrador, atualize o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KOs funcionários da organização B têm agora acesso ao fornecedor e às respetivas Google Cloud organizações.
Restrinja o acesso apenas para carregamentos
Neste exemplo, o administrador e o administrador do proxy de saída da organização C colaboram para restringir o acesso ao carregamento dos funcionários apenas aos recursos na organização. Google Cloud Google Cloud
Para restringir o acesso ao carregamento apenas à sua organização, faça o seguinte:
Como Google Cloud administrador, para obter o Google Cloud ID da organização de Organization C, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Google Cloud administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador do proxy de saída, configure o proxy de saída de forma que o seguinte cabeçalho de pedido seja inserido apenas para pedidos com métodos PUT, POST e PATCH originários dos dispositivos geridos na organização C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
O que se segue?
- Saiba mais sobre os serviços suportados pelas restrições de organização.