本页介绍了如何使用组织限制的一些常见示例。
仅限贵组织的人访问
在此示例中, Google Cloud 组织 A 的管理员和出站代理管理员通力合作,将员工的访问权限限制为只能访问其Google Cloud 组织中的资源。
如需仅限贵组织访问,请执行以下操作:
作为 Google Cloud 管理员,如需获取 Google Cloud 组织 A 的组织 ID,请使用
gcloud organizations list
命令:gcloud organizations list
以下是输出示例:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
作为出站代理管理员,在从 Google Cloud管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }
作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管设备的所有请求中插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
限制对贵组织的访问权限,并允许对 Cloud Storage 资源发出读取请求
在此示例中, Google Cloud 组织 A 的管理员和出站代理管理员通力合作,限制员工只能访问其Google Cloud 组织中的资源,但可以发出对 Cloud Storage 资源的读取请求。管理员可能希望从组织限制强制执行中忽略对 Cloud Storage 资源的读取请求,以确保其员工可以访问使用 Cloud Storage 托管静态内容的外部网站。管理员使用 cloudStorageReadAllowed
选项允许对 Cloud Storage 资源发出读取请求。
如需仅限制对贵组织的访问权限,并允许对 Cloud Storage 资源发出读取请求,请执行以下操作:
作为 Google Cloud 管理员,如需获取 Google Cloud 组织 A 的组织 ID,请使用
gcloud organizations list
命令:gcloud organizations list
以下是输出示例:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
作为出站代理管理员,在从 Google Cloud管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }
作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 A 中的受管设备的所有请求中插入以下请求标头:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
组织 A 的员工现在可以访问其 Google Cloud 组织,并拥有对 Cloud Storage 资源的读取权限。
允许员工访问供应商 Google Cloud 组织
在本例中, Google Cloud 组织 B 的管理员和出站代理管理员通力合作,让员工除了现有的 Google Cloud 组织之外,还可以访问供应商 Google Cloud 组织。
如需限制员工仅访问贵组织和供应商组织,请执行以下操作:
作为 Google Cloud 管理员,请与供应商联系,获取供应商组织的 Google Cloud组织 ID。
作为出站代理管理员,如果要添加供应商组织 ID 以及现有组织 ID,您必须更新标头值的 JSON 表示法。从 Google Cloud管理员处获取供应商组织 ID 后,请按照以下格式更新标头值:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }
作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
作为出站流量代理管理员,请配置出站流量代理,以便在源自组织 B 中的受管设备的所有请求中插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
组织 B 的员工现在可以访问该供应商和其 Google Cloud 组织。
仅限上传内容的访问权限
在此示例中, Google Cloud 组织 C 的管理员和出站代理管理员通力合作,将员工的上传权限限制为仅限于Google Cloud 组织中的资源。
如需将上传权限仅限于贵组织,请执行以下操作:
作为 Google Cloud 管理员,如需获取 Google Cloud 组织 C 的组织 ID,请使用
gcloud organizations list
命令:gcloud organizations list
以下是输出示例:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4
作为出站代理管理员,在从 Google Cloud管理员处获取组织 ID 后,请按以下格式为标头值编写 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }
作为出站代理管理员,请按照 RFC 4648 第 5 节规范对请求标头的值进行编码。
例如,如果标头值的 JSON 表示法存储在
authorized_orgs.json
文件中,如需对该文件进行编码,请运行以下 basenc 命令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
作为出站流量代理管理员,请将出站流量代理配置为仅针对源自组织 C 中的受管设备且使用 PUT、POST 和 PATCH 方法的请求插入以下请求标头:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
后续步骤
- 了解组织限制支持的服务。