本页介绍了如何使用组织限制的一些常见示例。
仅限贵组织的人访问
在此示例中,Google Cloud 管理员和出站流量代理管理员 组织 A 共同参与,限制员工只能访问其组织中的 Google Cloud 组织。
如要仅限您组织中的用户访问,请执行以下操作:
作为 Google Cloud 管理员,如需获取 在组织 A 中,使用
gcloud organizations list命令:gcloud organizations list以下是输出示例:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4作为出站代理管理员,在从 Google Cloud 管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示形式存储在
authorized_orgs.json文件,如需对文件进行编码,请运行以下命令 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo作为出站流量代理管理员,请配置出站流量代理,以便: 请求标头已插入到来自受管理设备的所有请求中 在组织 A 中:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
限制对您的组织的访问,并允许对 Cloud Storage 资源的读取请求
在此示例中,Google Cloud 管理员和出站流量代理管理员
组织 A 共同参与,限制员工只能访问其组织中的
Google Cloud 组织,但对 Cloud Storage 资源的读取请求除外。
管理员可能希望忽略对 Cloud Storage 资源的读取请求,
实施组织权限限制,以确保员工
使用 Cloud Storage 托管静态内容的外部网站。管理员使用 cloudStorageReadAllowed 选项允许对 Cloud Storage 资源发出读取请求。
如需仅限制对贵组织的访问权限,并允许对 Cloud Storage 资源发出读取请求,请执行以下操作:
作为 Google Cloud 管理员,如需获取 在组织 A 中,使用
gcloud organizations list命令:gcloud organizations list以下是输出示例:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4作为出站代理管理员,在从 Google Cloud 管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l作为出站流量代理管理员,请配置出站流量代理,以便: 请求标头已插入到来自受管理设备的所有请求中 在组织 A 中:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l组织 A 的员工现在可以访问其 Google Cloud 组织 以及对 Cloud Storage 资源的读取权限。
允许员工访问供应商 Google Cloud 组织
在此示例中,组织 B 的 Google Cloud 管理员和出站流量代理管理员通力合作,让员工除了现有的 Google Cloud 组织之外,还可以访问供应商 Google Cloud 组织。
如需限制员工只能访问贵组织和供应商组织,请执行以下操作:
作为 Google Cloud 管理员,请与供应商联系以获取 Google Cloud 供应商组织的 ID。
作为出站流量代理管理员,除了添加供应商组织 ID 现有的组织 ID,则必须更新 JSON 格式的 标头值。从 Google Cloud 获取供应商组织 ID 后 请按照以下格式更新标头值:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K作为出站流量代理管理员,请配置出站流量代理,以便: 请求标头已插入到来自受管理设备的所有请求中 组织 B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K组织 B 的员工现在可以访问供应商组织和其 Google Cloud 组织。
仅限上传内容的访问权限
在此示例中,Google Cloud 管理员和出站流量代理管理员 C 组织共同协作,限制员工只能访问 Google Cloud 组织。
如需将上传权限仅限于贵组织,请执行以下操作:
作为 Google Cloud 管理员,如需获取 在组织 C 中,使用
gcloud organizations list命令:gcloud organizations list输出示例如下:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4作为出站代理管理员,在从 Google Cloud 管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo作为出站流量代理管理员,请配置出站流量代理,以便仅针对来自组织 C 中的受管设备且使用 PUT、POST 和 PATCH 方法的请求插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
后续步骤
- 了解组织限制支持的服务。