Auf dieser Seite werden die Voraussetzungen für die Konfiguration des Egress-Proxys beschrieben. Außerdem wird erläutert, wie Sie die Organisations-ID abrufen, den Header mit den Organisationseinschränkungen hinzufügen und den Proxy mit der Liste der Ziel-URLs konfigurieren.
Trusted Cloud by S3NS Administratoren, die Trusted Cloud by S3NSverwalten, und Administratoren für ausgehende Proxys, die den ausgehenden Proxy konfigurieren, müssen zusammenarbeiten, um Organisationseinschränkungen zu konfigurieren. Informationen zu Partnerlösungen, die mit Organisationseinschränkungen validiert wurden, finden Sie unter Validierte Partnerlösungen.
Hinweise
Wenn Sie ein Administrator für den Egress-Proxy sind, müssen Sie die folgenden Voraussetzungen erfüllen, bevor Sie den Egress-Proxy so konfigurieren, dass der Header für Organisationsbeschränkungen hinzugefügt wird:
Wenn die Rollen des Trusted Cloud by S3NS -Administrators und des Egress-Proxy-Administrators in Ihrer Organisation unterschiedlich sind, muss der Trusted Cloud by S3NS -Administrator den Egress-Proxy-Administrator bitten, den Egress-Proxy zu konfigurieren.
Konfigurieren Sie die Firewallregeln Ihrer Organisation oder die verwalteten Geräte so, dass der ausgehende Traffic von allen Nutzern in Ihrer Organisation über den Egress-Proxy geleitet wird.
Der Egress-Proxy in Ihrer Organisation muss die folgenden Funktionen haben:
- Header einfügen: Fügt einen benutzerdefinierten HTTP-Header in ausgehende Anfragen ein, die über den Egress-Proxy geleitet werden.
- TLS-Prüfung Wenn der Traffic zum Ausgangsproxy verschlüsselt ist, muss der Ausgangsproxy die Pakete entschlüsseln, den Header einfügen und das Paket neu verschlüsseln, bevor er es an das Ziel sendet.
Überschriften filtern und einfügen Optional. Unterstützen Sie einen oder mehrere der folgenden Filter und fügen Sie den Header nur für Anfragen hinzu, die der Filterbedingung entsprechen:
- Ziel-URLs: Eine Liste von Ziel-URLs, die mit dem Egress-Proxy übereinstimmen können.
- Geräte-IDs: Eine Liste von Geräte-IDs, die mit dem Egress-Proxy abgeglichen werden können. Die Geräte-IDs müssen an den Egress-Proxy weitergegeben werden.
- Nutzer-IDs Eine Liste von Nutzer-IDs, die mit dem Egress-Proxy übereinstimmen können. Die Nutzer-IDs müssen an den Egress-Proxy weitergegeben werden.
Organisations-ID abrufen
Als Trusted Cloud by S3NS Administrator müssen Sie die Trusted Cloud by S3NSOrganisations-ID abrufen, damit sie dem Header mit den Organisationseinschränkungen hinzugefügt werden kann.
Führen Sie den folgenden Befehl aus, um die Ressourcen-ID Ihrer Organisation zu ermitteln:
gcloud organizations list
Mit diesem Befehl werden alle Organisationsressourcen aufgelistet, denen Sie angehören, sowie die entsprechenden Organisationsressourcen-IDs.
Nachdem Sie die Organisations-ID erhalten haben, können Sie entweder den Header mit den Organisationseinschränkungen hinzufügen oder den Administrator des Egress-Proxys bitten, den Header hinzuzufügen.
Header für Organisationseinschränkungen hinzufügen
So fügen Sie als Administrator eines Egress-Proxys den Header mit den Organisationseinschränkungen ausgehenden Anfragen hinzu:
- Erstellen Sie die Kopfzeile.
- Codieren Sie den Header.
- Konfigurieren Sie den Proxy für ausgehenden Traffic.
Kopfzeile erstellen
Erstellen Sie die JSON-Darstellung für den Header im folgenden Format:
X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE enthält eine durch Kommas getrennte Liste der autorisierten Trusted Cloud by S3NSOrganisations-IDs. Der Wert muss dann websicher mit Base64 verschlüsselt werden.
HEADER_VALUE hat die folgende JSON-Struktur:
{
"resources": [string,..],
"options": string
}
resources: Eine Liste mit Strings. Jeder String in dieser Liste muss auf eine Trusted Cloud by S3NSOrganisations-ID verweisen. Organisations-IDs in dieser Liste gelten während der Auswertung als autorisierte Organisationen.options: Ein String, der einen der folgenden Werte enthält:"strict": Erzwingt den Header für Organisationseinschränkungen für alle Anfragetypen für die unterstützten Trusted Cloud by S3NS Dienste."cloudStorageReadAllowed": Ermöglicht Leseanfragen an Cloud Storage, erzwingt aber den Header mit Organisationsbeschränkungen für alle anderen Anfragetypen an die unterstützten Trusted Cloud by S3NS Dienste. Diese Option ermöglicht den Zugriff für die folgenden Cloud Storage-Leseoperationen:storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.buckets.getstorage.buckets.liststorage.buckets.getIamPolicy
Zur Veranschaulichung dieser Option betrachten wir ein Beispiel, in dem Alex der Administrator der Beispielorganisation und Lee ein Mitarbeiter dieser Organisation ist. Nehmen wir an, eine Website wie altostrat.com speichert statische Inhalte in öffentlichen Cloud Storage-Buckets und befindet sich außerhalb von Beispielorganisation. Wenn Alex die Option strict verwendet, um den Zugriff von Lee nur auf die Beispielorganisation einzuschränken, wird Lee der Zugriff auf statische Inhalte in altostrat.com verweigert, die in öffentlichen Cloud Storage-Buckets von altostrat.com gespeichert sind. Dieses Verhalten beeinträchtigt die Möglichkeit von Lee, die Website effektiv zu durchsuchen. Das gleiche Verhalten tritt bei jeder Website auf, die öffentlichen Cloud Storage zum Speichern statischer Inhalte verwendet.
Damit Lee die statischen Inhalte auf altostrat.com ansehen kann und der gesamte andere Trusted Cloud by S3NS -Zugriff nur auf Example Organization beschränkt wird, verwendet Alex die Option cloudStorageReadAllowed.
Hier sehen Sie ein Beispiel für einen gültigen Header für Organisationsbeschränkungen:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Header codieren
Codieren Sie die Organisations-IDs im websicheren Base64-Format. Die Codierung muss den Spezifikationen in RFC 4648, Abschnitt 5, entsprechen.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei authorized_orgs.json gespeichert ist, führen Sie den folgenden basenc-Befehl aus, um die Datei zu codieren:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Hier sehen Sie ein Beispiel für einen Header nach der Codierung der Organisations-ID:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Proxy für ausgehenden Traffic konfigurieren
Wenn Sie den Header in Anfragen einfügen möchten, die von den verwalteten Geräten stammen, konfigurieren Sie den Egress-Proxy.
Wenn ein Trusted Cloud by S3NS Nutzer in Ihrer Organisation explizit einen HTTP-Header angibt, muss der Egress-Proxy die vom Nutzer angegebenen Werte mit den vom Trusted Cloud by S3NS Administrator angegebenen Werten überschreiben.
Damit dieser Header nicht zu Zielen außerhalb von Trusted Cloud by S3NShinzugefügt wird, konfigurieren Sie den Egress-Proxy so, dass der Header mit den Organisationseinschränkungen nur Anfragen mit den folgenden Zielen hinzugefügt wird:
*.google.com*.googleapis.com*.gcr.io*.pkg.dev*.cloudfunctions.net*.run.app*.tunnel.cloudproxy.app*.datafusion.googleusercontent.com
Informationen zu Fehlermeldungen, die aufgrund von Verstößen gegen Organisationseinschränkungen auftreten, finden Sie unter Fehlermeldungen.