Es posible que parte de la información de esta página (o toda) no se aplique a Trusted Cloud de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Se usó la API de Cloud Translation para traducir esta página.

Configura restricciones para organizaciones

En esta página, se describen los requisitos previos para la configuración del proxy de salida, cómo obtener el ID de la organización, agregar el encabezado de restricciones para organizaciones y configurar el proxy con la lista de URLs de destino.

Los administradores deTrusted Cloud by S3NS , que administran Trusted Cloud by S3NS, y los administradores de proxy de salida que configuran este tipo de proxy deben trabajar juntos para establecer las restricciones para organizaciones. Para obtener información sobre las soluciones de socios validadas con restricciones para organizaciones, consulta Soluciones de socios validadas.

Antes de comenzar

Si eres administrador de proxy de salida, antes de configurar el proxy de salida para agregar el encabezado de restricciones para organizaciones, debes cumplir con los siguientes requisitos previos:

Si los roles de administrador de Trusted Cloud by S3NS y administrador de proxy de salida son diferentes en tu organización, asegúrate de que el administrador de Trusted Cloud by S3NS se comunique con el administrador de proxy de salida para configurar el proxy de salida.
Configura las reglas de firewall de tu organización o los dispositivos administrados para asegurarte de que el tráfico saliente de todos los usuarios de tu organización pase por el proxy de salida.
Asegúrate de que el proxy de salida de tu organización tenga las siguientes características:
- Insertar encabezados Inserta un encabezado HTTP personalizado en las solicitudes salientes que atraviesan el proxy de salida.
- Inspección de TLS Si el tráfico al proxy de salida está encriptado, el proxy de salida debe desencriptar los paquetes, insertar el encabezado y volver a encriptar el paquete antes de enviarlo al destino.
- Filtrar e insertar encabezados Opcional. Admite uno o más de los siguientes filtros y, luego, agrega el encabezado solo para las solicitudes que coincidan con la condición del filtro:
  - URLs de destino: Es una lista de URLs de destino con las que el proxy de salida puede coincidir.
  - IDs de dispositivos Es una lista de IDs de dispositivos con los que puede coincidir el proxy de salida. Los IDs de dispositivo se deben propagar al proxy de salida.
  - IDs de usuario Es una lista de IDs de usuario con los que puede coincidir el proxy de salida. Los IDs de usuario deben propagarse al proxy de salida.

Obtén el ID de la organización

Como administrador de Trusted Cloud by S3NS , debes obtener el ID de la organización Trusted Cloud by S3NSpara que se pueda agregar al encabezado de restricciones para organizaciones.

Para encontrar el ID del recurso de tu organización, ejecuta el siguiente comando:

   gcloud organizations list

Este comando enumera todos los recursos de la organización a los que perteneces y sus IDs correspondientes.

Después de obtener el ID de la organización, puedes agregar el encabezado de restricciones para organizaciones o comunicarte con el administrador del proxy de salida para que lo agregue.

Agrega el encabezado de restricciones para organizaciones

Como administrador de proxy de salida, para agregar el encabezado de restricciones para organizaciones a las solicitudes salientes, haz lo siguiente:

Crea el encabezado.
Codifica el encabezado.
Configura el proxy de salida.

Crea el encabezado

Crea la representación JSON del encabezado con el siguiente formato: X-Goog-Allowed-Resources: HEADER_VALUE

HEADER_VALUE contiene una lista separada por comas de los IDs de organizaciones Trusted Cloud by S3NSautorizadas. Luego, el valor se debe codificar en codificación base64 segura para la Web.

HEADER_VALUE tiene la siguiente estructura JSON:

  {
  "resources": [string,..],
  "options": string
  }

resources: Es una lista de cadenas. Cada cadena de esta lista debe hacer referencia a un ID de organización Trusted Cloud by S3NS. Los IDs de organización de esta lista se consideran organizaciones autorizadas durante la evaluación.
options: Es una cadena que contiene uno de los siguientes valores:
- "strict". Aplica el encabezado de restricciones para organizaciones a todos los tipos de solicitudes de los servicios compatibles Trusted Cloud by S3NS .
- "cloudStorageReadAllowed". Permite solicitudes de lectura a Cloud Storage, pero aplica el encabezado de restricciones para organizaciones a todos los demás tipos de solicitudes a los servicios Trusted Cloud by S3NS compatibles. Esta opción permite el acceso a las siguientes operaciones de lectura de Cloud Storage:
  - storage.objects.get
  - storage.objects.list
  - storage.objects.getIamPolicy
  - storage.buckets.get
  - storage.buckets.list
  - storage.buckets.getIamPolicy

Para demostrar esta opción, considera un ejemplo en el que Alex es el administrador de la organización de ejemplo y Lee es un empleado de esta organización. Considera un sitio web como altostrat.com que almacena contenido estático en buckets públicos de Cloud Storage y está fuera de Example Organization. Si Alex usa la opción strict para restringir el acceso de Lee solo a Example Organization, se le denegará el acceso al contenido estático en altostrat.com, que existe en buckets públicos de Cloud Storage propiedad de altostrat.com. Este comportamiento afecta la capacidad de Lee para navegar por el sitio web de manera eficaz, y se experimenta el mismo comportamiento en cualquier sitio web que use Cloud Storage público para almacenar contenido estático. Para permitir que Lee vea el contenido estático en altostrat.com y restringir el acceso de todos los demás Trusted Cloud by S3NS solo a Example Organization, Alex usa la opción cloudStorageReadAllowed.

Este es un ejemplo de un encabezado de restricciones para organizaciones válido:

  {
  "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
  }

Codifica el encabezado

Codifica los IDs de la organización en formato base64 seguro para la Web. La codificación debe seguir las especificaciones de la sección 5 del RFC 4648.

Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificar el archivo, ejecuta el siguiente comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K

Este es un ejemplo de un encabezado después de codificar el ID de la organización:

// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K

// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}

Configura el proxy de salida

Para insertar el encabezado en las solicitudes que se originan en los dispositivos administrados, configura el proxy de salida.

Asegúrate de que, si un usuario de tu organización proporciona de forma explícita un encabezado HTTP, el proxy de salida anule los valores proporcionados por el usuario con los valores que proporciona el administrador de Trusted Cloud by S3NS . Trusted Cloud by S3NS

Para evitar agregar este encabezado a destinos fuera de Trusted Cloud by S3NS, configura el proxy de salida para que agregue el encabezado de restricciones para organizaciones a las solicitudes solo con los siguientes destinos:

*.google.com
*.googleapis.com
*.gcr.io
*.pkg.dev
*.cloudfunctions.net
*.run.app
*.tunnel.cloudproxy.app
*.datafusion.googleusercontent.com

Para obtener información sobre los mensajes de error que se producen debido a incumplimientos de restricciones para organizaciones, consulta Mensajes de error.

¿Qué sigue?

Obtén más información para usar restricciones de la organización.