Nesta página, descrevemos vários exemplos comuns de como usar as restrições para organizações.
Restringir o acesso apenas à sua organização
Neste exemplo, o administrador do Google Cloud e o administrador de proxy de saída da Organização A trabalham juntos para restringir o acesso dos funcionários apenas aos recursos da organização do Google Cloud.
Para restringir o acesso apenas à sua organização, faça o seguinte:
Como administrador do Google Cloud, para conferir o ID da organização do Google Cloud da Organização A, use o comando
gcloud organizations list:gcloud organizations listConfira abaixo um exemplo de saída:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de um proxy de saída, depois de conseguir o ID da organização no administrador, escreva a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como um administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da Seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o comando basenc abaixo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de um proxy de saída, configure-o para que o seguinte cabeçalho de solicitação é inserido em todas as solicitações originadas dos dispositivos gerenciados na organização A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restringir o acesso à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage
Neste exemplo, o administrador do Google Cloud e o administrador de proxy de saída da
A Organização A trabalha em conjunto para restringir o acesso dos funcionários apenas aos recursos
Organização do Google Cloud, exceto solicitações de leitura para recursos do Cloud Storage.
Os administradores podem omitir solicitações de leitura de recursos do Cloud Storage da
aplicação de restrições da organização para garantir que os funcionários possam acessar
sites externos que usam o Cloud Storage para hospedar conteúdo estático. O administrador
usa a opção cloudStorageReadAllowed para permitir solicitações de leitura aos recursos do Cloud Storage.
Para restringir o acesso apenas à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage, faça o seguinte:
Como administrador do Google Cloud, para receber o ID da organização do Google Cloud de Organização A, use o comando
gcloud organizations list:gcloud organizations listConfira abaixo um exemplo de saída:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de saída, depois de receber o ID da organização do administrador do Google Cloud, composte a representação JSON do valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o comando basenc abaixo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador de um proxy de saída, configure-o para que o seguinte cabeçalho de solicitação é inserido em todas as solicitações originadas dos dispositivos gerenciados na organização A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lOs funcionários da Organização A agora têm acesso à organização deles do Google Cloud e acesso de leitura aos recursos do Cloud Storage.
Permitir que os funcionários acessem uma organização do Google Cloud do fornecedor
Neste exemplo, o administrador do Google Cloud e o administrador de proxy de saída da A organização B trabalha em conjunto para permitir que os funcionários acessem uma organização fornecedora do Google Cloud além da organização atual do Google Cloud.
Para restringir o acesso dos funcionários apenas à sua organização e à organização fornecedora, faça o seguinte:
Como administrador do Google Cloud, entre em contato com o fornecedor para receber o ID da organização do Google Cloud da organização do fornecedor.
Como administrador de um proxy de saída, para incluir o ID da organização do fornecedor além para o ID da organização existente, você deve atualizar a representação JSON para o valor do cabeçalho. Depois de conseguir o ID da organização do fornecedor no Google Cloud administrador, atualize o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Como um administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da Seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o comando basenc abaixo:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador de um proxy de saída, configure-o para que o seguinte cabeçalho de solicitação é inserido em todas as solicitações originadas dos dispositivos gerenciados na organização B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KOs funcionários da Organização B agora têm acesso ao fornecedor e às organizações do Google Cloud dele.
Restringir o acesso apenas para uploads
Neste exemplo, o administrador do Google Cloud e o administrador de proxy de saída da A Organização C trabalha em conjunto para restringir o acesso dos funcionários por upload apenas aos recursos no organização do Google Cloud.
Para restringir o acesso de upload apenas à sua organização, faça o seguinte:
Como administrador do Google Cloud, para conferir o ID da organização C, use o comando
gcloud organizations list:gcloud organizations listConfira abaixo um exemplo de saída:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de saída, depois de receber o ID da organização do administrador do Google Cloud, composte a representação JSON do valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho for armazenada no
authorized_orgs.json, para codificar o arquivo, execute o seguinte basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de saída, configure o proxy de saída para que o seguinte cabeçalho de solicitação seja inserido apenas para solicitações com métodos PUT, POST e PATCH originadas dos dispositivos gerenciados na Organização C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
A seguir
- Saiba mais sobre os serviços compatíveis com as restrições para organizações.