组织权限限制示例

本页面介绍如何使用组织权限限制的几个常见示例。

仅限贵组织访问

在此示例中,组织 A 的 Google Cloud 管理员和出站流量代理管理员共同限制员工只能访问其 Google Cloud 组织中的资源。

如需仅允许您的组织进行访问,请执行以下操作:

  1. 作为 Google Cloud 管理员,如需获取组织 A 的 Google Cloud 组织 ID,请使用 gcloud organizations list 命令

        gcloud organizations list
    
    

    以下是示例输出:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 作为出站流量代理管理员,从 Google Cloud 管理员获得组织 ID 后,请按以下格式编写标头值的 JSON 表示法:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. 作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,以便对文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管理设备的所有请求中插入以下请求标头:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

限制对您的组织的访问权限,允许对 Cloud Storage 资源的读取请求

在此示例中,组织 A 的 Google Cloud 管理员和出站流量代理管理员共同限制员工只能访问其 Google Cloud 组织中的资源,但对 Cloud Storage 资源的读取请求除外。管理员可能不希望在组织权限限制执行中忽略对 Cloud Storage 资源的读取请求,以确保其员工可以访问使用 Cloud Storage 托管静态内容的外部网站。管理员使用 cloudStorageReadAllowed 选项允许对 Cloud Storage 资源的读取请求。

如需仅允许对您的组织进行访问并允许对 Cloud Storage 资源的读取请求,请执行以下操作:

  1. 作为 Google Cloud 管理员,如需获取组织 A 的 Google Cloud 组织 ID,请使用 gcloud organizations list 命令

        gcloud organizations list
    

    以下是示例输出:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 作为出站流量代理管理员,从 Google Cloud 管理员获得组织 ID 后,请按以下格式编写标头值的 JSON 表示法:

     {
     "resources": ["organizations/123456789"],
      "options": "cloudStorageReadAllowed"
     }
    
  3. 作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,以便对文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管理设备的所有请求中插入以下请求标头:

     X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    

    组织 A 的员工现在可以访问其 Google Cloud 组织并读取 Cloud Storage 资源。

允许员工访问供应商的 Google Cloud 组织

在此示例中,组织 B 的 Google Cloud 管理员和出站流量代理管理员共同合作,以允许员工访问供应商 Google Cloud 组织以及其现有的 Google Cloud 组织。

如要仅允许员工访问贵组织和供应商组织,请执行以下操作:

  1. 作为 Google Cloud 管理员,请与供应商互动,获取供应商组织的 Google Cloud 组织 ID。

  2. 作为出站流量代理管理员,如果除了现有组织 ID 之外,还需要添加供应商组织 ID,您必须更新标头值的 JSON 表示法。从 Google Cloud 管理员获取供应商组织 ID 后,请按以下格式更新标头值:

     {
     "resources": ["organizations/1234", "organizations/3456"],
      "options": "strict"
     }
    
  3. 作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,以便对文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 B 中的受管理设备的所有请求中插入以下请求标头:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    

    现在,B 组织的员工可以访问供应商及其 Google Cloud 组织了。

仅针对上传操作限制访问权限

在此示例中,组织 C 的 Google Cloud 管理员和出站代理管理员共同合作,限制员工只能上传 Google Cloud 组织内的资源。

如需仅允许您组织内部人员访问上传,请执行以下操作:

  1. 作为 Google Cloud 管理员,如需获取组织 C 的 Google Cloud 组织 ID,请使用 gcloud organizations list 命令

        gcloud organizations list
    

    以下是示例输出:

        DISPLAY_NAME: Organization C
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 作为出站流量代理管理员,从 Google Cloud 管理员获得组织 ID 后,请按以下格式编写标头值的 JSON 表示法:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. 作为出站流量代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,以便对文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便仅针对来自组织 C 中的受管设备的具有 PUT、POST 和 PATCH 方法的请求插入以下请求标头:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

后续步骤