本页面简要介绍了组织权限限制及其工作原理。
借助组织权限限制功能,您可以防止因钓鱼式攻击或内部攻击而发生数据渗漏。对于组织中的受管设备,组织权限限制功能仅允许对授权的 Google Cloud 组织中的资源进行访问。
组织权限限制运作方式
在 Google Cloud 中,Identity and Access Management 用于管理对资源的访问权限。管理员使用 Identity and Access Management 政策来控制谁可以访问其组织内的资源。组织需要限制其员工只能访问已获授权的 Google Cloud 组织中的资源。管理 Google Cloud 的 Google Cloud 管理员和配置出站流量代理的出站流量代理管理员共同设置组织权限限制。
下图说明了不同组件如何强制执行组织权限限制:
架构图显示了以下组件:
受管理设备:受公司组织政策约束的设备。组织的员工使用受管设备访问组织资源。
出站代理:出站代理管理员将该代理配置为向源自受管设备的任何请求添加组织权限限制标头。此代理配置可防止用户访问未经授权的 Google Cloud 组织中的任何 Google Cloud 资源。
Google Cloud:Google Cloud 中的组织权限限制功能会检查所有请求的组织权限限制标头,并根据要访问的组织允许或拒绝请求。
常见使用场景
以下是一些常见的组织权限限制用例:
仅允许组织中的员工访问该组织,让员工只能访问 Google Cloud 组织中的资源,而不能访问其他组织中的资源。
允许员工读取 Cloud Storage 资源,但仅允许员工访问 Google Cloud 组织中的资源。
除了您的 Google Cloud 组织之外,还允许您的员工访问供应商 Google Cloud 组织。
实现这些使用场景需要管理 Google Cloud 的 Google Cloud 管理员和配置出站流量代理的出站流量代理管理员之间互动。
后续步骤
- 了解组织限制配置。
- 了解组织限制所支持的服务。