本页面简要介绍了组织限制功能及其运作方式。
借助组织权限限制功能,您可以防止因钓鱼式攻击或内部攻击而导致数据渗漏。对于组织中的受管设备,组织权限限制功能仅允许对已获授权的组织中的资源进行访问。 Google Cloud
组织限制的运作方式
在 Google Cloud中,Identity and Access Management 用于管理对资源的访问权限。管理员使用 Identity and Access Management 政策来控制哪些人可以访问其组织中的资源。组织需要限制其员工只能访问已获授权的 Google Cloud 组织 Google Cloud 中的资源。 Google Cloud的管理员和出站流量代理的管理员(负责配置出站流量代理)需要共同设置组织权限限制。
下图展示了不同组件如何协同工作来强制执行组织限制:
架构图显示了以下组件:
受管设备:受公司组织政策约束的设备。组织的员工使用受管设备访问组织资源。
出站流量代理:出站流量代理管理员将代理配置为向源自受管设备的所有请求添加组织权限限制标头。此代理配置可防止用户访问未经授权的 Google Cloud 组织中的 Google Cloud 任何资源。
Google Cloud: Google Cloud 中的组织权限限制功能会检查所有请求的组织权限限制标头,并根据要访问的组织允许或拒绝请求。
常见使用场景
以下是一些常见的组织限制用例:
限制组织中员工的访问权限,让员工只能访问贵组织 Google Cloud 中的资源,而不能访问其他组织中的资源。
允许员工读取 Cloud Storage 资源,但仅允许员工访问您 Google Cloud 组织中的资源。
若要实现这些用例,需要 Google Cloud 管理 Google Cloud的管理员与配置出站代理的出站代理管理员进行协作。