Esta página foi traduzida pela API Cloud Translation.

Exemplos de restrições da organização

Esta página descreve vários exemplos comuns de como usar as restrições da organização.

Restringir o acesso apenas à sua organização

Neste exemplo, o administrador Google Cloud e o administrador de proxy de saída da Organização A trabalham juntos para restringir o acesso dos funcionários apenas aos recursos da Google Cloud .

Para restringir o acesso apenas à sua organização, faça o seguinte:

Como Google Cloud administrador, para conferir o ID da organização Google Cloud da Organização A, use o comando gcloud organizations list:
```
    gcloud organizations list
```
Confira abaixo um exemplo de saída:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador de proxy de saída, depois de receber o ID da organização do administrador Google Cloud, compile a representação JSON do valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Como administrador de proxy de saída, configure o proxy de saída para que o cabeçalho de solicitação a seguir seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização A:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Restringir o acesso à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage

Neste exemplo, o administrador Google Cloud e o administrador de proxy de saída da Organização A trabalham juntos para restringir o acesso dos funcionários apenas aos recursos da Google Cloud , exceto para solicitações de leitura de recursos do Cloud Storage. Os administradores podem omitir solicitações de leitura de recursos do Cloud Storage da aplicação de restrições da organização para garantir que os funcionários possam acessar sites externos que usam o Cloud Storage para hospedar conteúdo estático. O administrador usa a opção cloudStorageReadAllowed para permitir solicitações de leitura aos recursos do Cloud Storage.

Para restringir o acesso apenas à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage, faça o seguinte:

Como Google Cloud administrador, para conferir o ID da organização Google Cloud da Organização A, use o comando gcloud organizations list:
```
    gcloud organizations list
```
Confira abaixo um exemplo de saída:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador de proxy de saída, depois de receber o ID da organização do administrador Google Cloud, compõe a representação JSON do valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "cloudStorageReadAllowed"
 }
```
Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o comando basenc a seguir:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Como administrador de proxy de saída, configure o proxy de saída para que o cabeçalho de solicitação a seguir seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização A:
```
 X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Os funcionários da Organização A agora têm acesso à organização Google Cloud e acesso de leitura aos recursos do Cloud Storage.

Permitir que os funcionários acessem uma organização Google Cloud do fornecedor

Neste exemplo, o Google Cloud administrador e o administrador de proxy de saída da Organização B trabalham juntos para permitir que os funcionários acessem uma organização Google Cloud do fornecedor além da organização Google Cloud atual.

Para restringir o acesso dos funcionários apenas à sua organização e à do fornecedor, faça o seguinte:

Como Google Cloud administrador, entre em contato com o fornecedor para receber o ID da organização Google Clouddele.
Como administrador de proxy de saída, para incluir o ID da organização do fornecedor além do ID da organização atual, atualize a representação JSON do valor do cabeçalho. Depois de receber o ID da organização do fornecedor do administrador Google Cloud, atualize o valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
 }
```
Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Como administrador de proxy de saída, configure o proxy de saída para que o cabeçalho de solicitação a seguir seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização B:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Os funcionários da Organização B agora têm acesso ao fornecedor e às Google Cloud organizações dele.

Restringir o acesso apenas para uploads

Neste exemplo, o administrador do proxy de saída e o administrador Google Cloud da Organização C trabalham juntos para restringir o acesso de upload dos funcionários apenas aos recursos na organizaçãoGoogle Cloud .

Para restringir o acesso de upload apenas à sua organização, faça o seguinte:

Como Google Cloud administrador, para receber o ID da organização Google Cloud da Organização C, use o comando gcloud organizations list:
```
    gcloud organizations list
```
Confira abaixo um exemplo de saída:
```
    DISPLAY_NAME: Organization C
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador de proxy de saída, depois de receber o ID da organização do administrador Google Cloud, compile a representação JSON do valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Como administrador de proxy de saída, configure o proxy de saída para que o seguinte cabeçalho de solicitação seja inserido apenas para solicitações com métodos PUT, POST e PATCH originadas dos dispositivos gerenciados na Organização C:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

A seguir

Saiba mais sobre os serviços com suporte às restrições da organização.