组织权限限制示例

本页介绍了如何使用组织限制的一些常见示例。

仅限贵组织的人访问

在此示例中, Google Cloud 组织 A 的管理员和出站代理管理员通力合作,将员工的访问权限限制为只能访问其Google Cloud 组织中的资源。

如需仅限贵组织访问,请执行以下操作:

  1. 作为 Google Cloud 管理员,如需获取 Google Cloud 组织 A 的组织 ID,请使用 gcloud organizations list 命令

        gcloud organizations list
    
    

    以下是输出示例:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 作为出站代理管理员,在从 Google Cloud管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. 作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,如需对该文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管设备的所有请求中插入以下请求标头:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

限制对贵组织的访问权限,并允许对 Cloud Storage 资源发出读取请求

在此示例中, Google Cloud 组织 A 的管理员和出站代理管理员通力合作,限制员工只能访问其Google Cloud 组织中的资源,但可以发出对 Cloud Storage 资源的读取请求。管理员可能希望从组织限制强制执行中忽略对 Cloud Storage 资源的读取请求,以确保其员工可以访问使用 Cloud Storage 托管静态内容的外部网站。管理员使用 cloudStorageReadAllowed 选项允许对 Cloud Storage 资源发出读取请求。

如需仅限制对贵组织的访问权限,并允许对 Cloud Storage 资源发出读取请求,请执行以下操作:

  1. 作为 Google Cloud 管理员,如需获取 Google Cloud 组织 A 的组织 ID,请使用 gcloud organizations list 命令

        gcloud organizations list
    

    以下是输出示例:

        DISPLAY_NAME: Organization A
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 作为出站代理管理员,在从 Google Cloud管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:

     {
     "resources": ["organizations/123456789"],
      "options": "cloudStorageReadAllowed"
     }
    
  3. 作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,如需对该文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管设备的所有请求中插入以下请求标头:

     X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
    

    组织 A 的员工现在可以访问其 Google Cloud 组织,并拥有对 Cloud Storage 资源的读取权限。

允许员工访问供应商 Google Cloud 组织

在本例中, Google Cloud 组织 B 的管理员和出站代理管理员通力合作,让员工除了现有的 Google Cloud 组织之外,还可以访问供应商 Google Cloud 组织。

如需限制员工仅访问贵组织和供应商组织,请执行以下操作:

  1. 作为 Google Cloud 管理员,请与供应商联系,获取供应商组织的 Google Cloud组织 ID。

  2. 作为出站代理管理员,如果要添加供应商组织 ID 以及现有组织 ID,您必须更新标头值的 JSON 表示法。从 Google Cloud管理员处获取供应商组织 ID 后,请按照以下格式更新标头值:

     {
     "resources": ["organizations/1234", "organizations/3456"],
      "options": "strict"
     }
    
  3. 作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,如需对该文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
     ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    
  4. 作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 B 中的受管设备的所有请求中插入以下请求标头:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
    

    组织 B 的员工现在可以访问该供应商和其 Google Cloud 组织。

仅限上传内容的访问权限

在此示例中, Google Cloud 组织 C 的管理员和出站代理管理员通力合作,将员工的上传权限限制为仅限于Google Cloud 组织中的资源。

如需将上传权限仅限于贵组织,请执行以下操作:

  1. 作为 Google Cloud 管理员,如需获取 Google Cloud 组织 C 的组织 ID,请使用 gcloud organizations list 命令

        gcloud organizations list
    

    以下是输出示例:

        DISPLAY_NAME: Organization C
        ID: 123456789
        DIRECTORY_CUSTOMER_ID: a1b2c3d4
    
  2. 作为出站代理管理员,在从 Google Cloud管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:

     {
     "resources": ["organizations/123456789"],
      "options": "strict"
     }
    
  3. 作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。

    例如,如果标头值的 JSON 表示法存储在 authorized_orgs.json 文件中,如需对该文件进行编码,请运行以下 basenc 命令:

     $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    
  4. 作为出站流量代理管理员,请将出站流量代理配置为仅针对源自组织 C 中的受管设备且使用 PUT、POST 和 PATCH 方法的请求插入以下请求标头:

     X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
    

后续步骤