Exemplos de restrições para organizações

Nesta página, descrevemos vários exemplos comuns de como usar restrições para organizações.

Restringir o acesso apenas à sua organização

Neste exemplo, o administrador do Google Cloud e o administrador do proxy de saída da Organização A se engajam para restringir o acesso dos funcionários apenas aos recursos na organização do Google Cloud deles.

Para restringir o acesso apenas à sua organização, faça o seguinte:

Como administrador do Google Cloud, use o comando gcloud organizations list para receber o ID da Organização A no Google Cloud:
```
    gcloud organizations list
```
Este é o exemplo de saída:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador do proxy de saída, depois de receber o ID da organização do administrador do Google Cloud, escreva a representação JSON para o valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Como administrador do proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da Seção 5 do RFC 4648 (em inglês).

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o comando basenc a seguir:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Como administrador do proxy de saída, configure o proxy de saída para que o seguinte cabeçalho da solicitação seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização A:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Restringir o acesso à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage

Neste exemplo, o administrador do Google Cloud e o administrador do proxy de saída da Organização A se engajam para restringir os funcionários a acessar apenas recursos na organização do Google Cloud deles, exceto para solicitações de leitura aos recursos do Cloud Storage. Os administradores podem querer omitir solicitações de leitura para os recursos do Cloud Storage da aplicação de restrições para organizações para garantir que os funcionários possam acessar sites externos que usam o Cloud Storage para hospedar conteúdo estático. O administrador usa a opção cloudStorageReadAllowed para permitir solicitações de leitura em recursos do Cloud Storage.

Para restringir o acesso apenas à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage, faça o seguinte:

Como administrador do Google Cloud, use o comando gcloud organizations list para receber o ID da Organização A no Google Cloud:
```
    gcloud organizations list
```
Este é o exemplo de saída:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador do proxy de saída, depois de receber o ID da organização do administrador do Google Cloud, escreva a representação JSON para o valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "cloudStorageReadAllowed"
 }
```
Como administrador do proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da Seção 5 do RFC 4648 (em inglês).

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o comando basenc a seguir:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Como administrador do proxy de saída, configure o proxy de saída para que o seguinte cabeçalho da solicitação seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização A:
```
 X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Os funcionários da Organização A agora têm acesso à organização do Google Cloud e acesso de leitura aos recursos do Cloud Storage.

Permitir que os funcionários acessem a organização de um fornecedor do Google Cloud

Neste exemplo, o administrador do Google Cloud e o administrador do proxy de saída da Organização B se engajam para permitir que os funcionários acessem uma organização do Google Cloud do fornecedor, além da organização atual do Google Cloud.

Para restringir o acesso dos funcionários apenas à sua organização e à organização do fornecedor, faça o seguinte:

Como administrador do Google Cloud, entre em contato com o fornecedor para conseguir o ID da organização do fornecedor do Google Cloud.
Como administrador do proxy de saída, atualize a representação JSON do valor do cabeçalho para incluir o ID da organização do fornecedor além do ID atual. Depois de receber o ID da organização do fornecedor do administrador do Google Cloud, atualize o valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
 }
```
Como administrador do proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da Seção 5 do RFC 4648 (em inglês).

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o comando basenc a seguir:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Como administrador do proxy de saída, configure o proxy de saída para que o seguinte cabeçalho da solicitação seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização B:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Os funcionários da Organização B agora têm acesso ao fornecedor e às respectivas organizações do Google Cloud.

Restringir o acesso apenas para uploads

Neste exemplo, o administrador do Google Cloud e o administrador do proxy de saída da organização C se engajam para restringir o acesso de upload de funcionários apenas aos recursos na organização do Google Cloud.

Para restringir o acesso de upload apenas à sua organização, faça o seguinte:

Como administrador do Google Cloud, para conseguir o ID da organização C no Google Cloud, use o comando gcloud organizations list:
```
    gcloud organizations list
```
Este é o exemplo de saída:
```
    DISPLAY_NAME: Organization C
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador do proxy de saída, depois de receber o ID da organização do administrador do Google Cloud, escreva a representação JSON para o valor do cabeçalho no seguinte formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Como administrador do proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da Seção 5 do RFC 4648 (em inglês).

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o comando basenc a seguir:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Como administrador do proxy de saída, configure o proxy de saída para que o cabeçalho a seguir seja inserido apenas para solicitações com métodos PUT, POST e PATCH originados dos dispositivos gerenciados na Organização C:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

A seguir

Saiba mais sobre os serviços compatíveis com as restrições da organização.