機構限制範例

本頁說明幾個常見的機構限制使用範例。

僅限貴機構中的使用者存取

在本例中，機構 A 的管理員和輸出 Proxy 管理員共同合作，限制員工只能存取所屬機構的資源。 Google Cloud Google Cloud

如要將存取權限制為僅限貴機構，請按照下列步驟操作：

1. 身為 Google Cloud 管理員，如要取得機構 A 的 Google Cloud 機構 ID，請使用 gcloud organizations list 指令：

       gcloud organizations list
   
   

   以下是輸出範例：

       DISPLAY_NAME: Organization A
       ID: 123456789
       DIRECTORY_CUSTOMER_ID: a1b2c3d4
   

2. 身為輸出 Proxy 管理員，從 Google Cloud管理員取得機構 ID 後，請依下列格式編寫標頭值的 JSON 表示法：

    {
    "resources": ["organizations/123456789"],
     "options": "strict"
    }
   

3. 身為輸出 Proxy 管理員，請按照 RFC 4648 第 5 節的規格，為要求標頭編碼值。

   舉例來說，如果標頭值的 JSON 表示法儲存在 authorized_orgs.json 檔案中，如要編碼該檔案，請執行下列 basenc 指令：

    $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

4. 身為輸出 Proxy 管理員，請設定輸出 Proxy，確保從機構 A 中受管理裝置發出的所有要求，都會插入下列要求標頭：

    X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

限制貴機構的存取權，並允許對 Cloud Storage 資源提出讀取要求

在這個範例中，機構 A 的 Google Cloud 管理員和輸出 Proxy 管理員共同合作，限制員工只能存取Google Cloud 機構內的資源，但讀取 Cloud Storage 資源的要求除外。管理員可能會想從機構限制強制執行作業中，省略對 Cloud Storage 資源的讀取要求，確保員工可以存取使用 Cloud Storage 託管靜態內容的外部網站。管理員使用 cloudStorageReadAllowed 選項，允許對 Cloud Storage 資源發出讀取要求。

如要將存取權限制為僅限貴機構，並允許對 Cloud Storage 資源發出讀取要求，請按照下列步驟操作：

1. 身為 Google Cloud 管理員，如要取得機構 A 的 Google Cloud 機構 ID，請使用 gcloud organizations list 指令：

       gcloud organizations list
   

   以下是輸出範例：

       DISPLAY_NAME: Organization A
       ID: 123456789
       DIRECTORY_CUSTOMER_ID: a1b2c3d4
   

2. 身為輸出 Proxy 管理員，從 Google Cloud管理員取得機構 ID 後，請依下列格式編寫標頭值的 JSON 表示法：

    {
    "resources": ["organizations/123456789"],
     "options": "cloudStorageReadAllowed"
    }
   

3. 身為輸出 Proxy 管理員，請按照 RFC 4648 第 5 節的規格，為要求標頭編碼值。

   舉例來說，如果標頭值的 JSON 表示法儲存在 authorized_orgs.json 檔案中，如要編碼該檔案，請執行下列 basenc 指令：

    $ cat authorized_orgs.json | basenc --base64url -w0
   ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
   

4. 身為輸出 Proxy 管理員，請設定輸出 Proxy，確保從機構 A 中受管理裝置發出的所有要求，都會插入下列要求標頭：

    X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
   

   A 機構的員工現在可以存取所屬機構，並具備 Cloud Storage 資源的讀取權。 Google Cloud

允許員工存取供應商 Google Cloud 機構

在這個範例中，機構 B 的 Google Cloud 管理員和輸出 Proxy 管理員共同合作，允許員工除了現有的 Google Cloud 機構外，也能存取供應商 Google Cloud 機構。

如要限制員工只能存取貴機構和供應商機構，請按照下列步驟操作：

1. Google Cloud 管理員應與供應商聯絡，取得供應商機構的機構 ID。 Google Cloud

2. 身為輸出 Proxy 管理員，如要除了現有機構 ID 之外，還加入供應商機構 ID，您必須更新標頭值的 JSON 表示法。從 Google Cloud管理員取得供應商機構 ID 後，請更新標頭值，格式如下：

    {
    "resources": ["organizations/1234", "organizations/3456"],
     "options": "strict"
    }
   

3. 身為輸出 Proxy 管理員，請按照 RFC 4648 第 5 節的規格，為要求標頭編碼值。

   舉例來說，如果標頭值的 JSON 表示法儲存在 authorized_orgs.json 檔案中，如要編碼該檔案，請執行下列 basenc 指令：

    $ cat authorized_orgs.json | basenc --base64url -w0
    ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
   

4. 身為輸出 Proxy 管理員，請設定輸出 Proxy，以便在機構 B 中受管理裝置發出的所有要求中插入下列要求標頭：

    X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
   

   現在，機構 B 的員工可以存取供應商和所屬機構。 Google Cloud

僅限制上傳存取權

在這個範例中，機構 C 的管理員和輸出 Proxy 管理員共同合作，限制員工只能在機構Google Cloud 中上傳資源。 Google Cloud

如要將上傳權限限制為僅限貴機構，請按照下列步驟操作：

1. 身為 Google Cloud 管理員，如要取得機構 C 的 Google Cloud 機構 ID，請使用 gcloud organizations list 指令：

       gcloud organizations list
   

   以下是輸出範例：

       DISPLAY_NAME: Organization C
       ID: 123456789
       DIRECTORY_CUSTOMER_ID: a1b2c3d4
   

2. 身為輸出 Proxy 管理員，從 Google Cloud管理員取得機構 ID 後，請依下列格式編寫標頭值的 JSON 表示法：

    {
    "resources": ["organizations/123456789"],
     "options": "strict"
    }
   

3. 身為輸出 Proxy 管理員，請按照 RFC 4648 第 5 節的規格，為要求標頭編碼值。

   舉例來說，如果標頭值的 JSON 表示法儲存在 authorized_orgs.json 檔案中，如要編碼該檔案，請執行下列 basenc 指令：

    $ cat authorized_orgs.json | basenc --base64url -w0
   ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

4. 輸出 Proxy 系統管理員設定輸出 Proxy 時，請確保只有來自機構 C 受管理裝置的 PUT、POST 和 PATCH 方法要求，才會插入下列要求標頭：

    X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
   

後續步驟

• 瞭解機構限制支援的服務。