Questa pagina descrive i prerequisiti per la configurazione del proxy in uscita, come ottenere l'ID organizzazione, aggiungere l'intestazione restrizioni dell'organizzazione dell'organizzazione e configurare il proxy con l'elenco degli URL di destinazione.
Gli amministratoriTrusted Cloud by S3NS , che amministrano Trusted Cloud by S3NS, e gli amministratori del proxy in uscita che configurano il proxy in uscita devono collaborare per configurare le restrizioni dell'organizzazione. Per informazioni sulle soluzioni partner convalidate con le restrizioni dell'organizzazione, vedi Soluzioni partner convalidate.
Prima di iniziare
Se sei un amministratore del proxy in uscita, prima di configurare il proxy in uscita per aggiungere l'intestazione delle restrizioni dell'organizzazione, devi completare i seguenti prerequisiti:
Se i ruoli di Trusted Cloud by S3NS amministratore e amministratore del proxy in uscita sono diversi nella tua organizzazione, assicurati che l'amministratore Trusted Cloud by S3NS collabori con l'amministratore del proxy in uscita per configurare il proxy in uscita.
Configura le regole del firewall della tua organizzazione o configura i dispositivi gestiti per assicurarti che il traffico in uscita di tutti gli utenti della tua organizzazione passi attraverso il proxy di uscita.
Assicurati che il proxy di uscita della tua organizzazione disponga delle seguenti funzionalità:
- Inserisci intestazioni. Inserisce un'intestazione HTTP personalizzata nelle richieste in uscita che attraversano il proxy di uscita.
- Ispezione TLS. Se il traffico verso il proxy in uscita è criptato, il proxy in uscita deve decriptare i pacchetti, inserire l'intestazione e criptare nuovamente il pacchetto prima di inviarlo alla destinazione.
Filtrare e inserire le intestazioni. Facoltativo. Supporta uno o più dei seguenti filtri e poi aggiungi l'intestazione solo per le richieste che corrispondono alla condizione del filtro:
- URL di destinazione. Un elenco di URL di destinazione che il proxy di uscita può corrispondere.
- ID dispositivo. Un elenco di ID dispositivo che il proxy di uscita può corrispondere. Gli ID dispositivo devono essere propagati al proxy di uscita.
- ID utente. Un elenco di ID utente a cui il proxy di uscita può corrispondere. Gli ID utente devono essere propagati al proxy di uscita.
Recuperare l'ID organizzazione
In qualità di amministratore di Trusted Cloud by S3NS , devi ottenere l'ID organizzazione Trusted Cloud by S3NS in modo che possa essere aggiunto all'intestazione restrizioni dell'organizzazione.
Per trovare l'ID risorsa dell'organizzazione, esegui questo comando:
gcloud organizations list
Questo comando elenca tutte le risorse dell'organizzazione a cui appartieni e i relativi ID risorsa dell'organizzazione.
Dopo aver ottenuto l'ID organizzazione, puoi aggiungere l'intestazione delle restrizioni dell'organizzazione dell'organizzazione o collaborare con l'amministratore del proxy in uscita per aggiungere l'intestazione.
Aggiungi l'intestazione restrizioni dell'organizzazione
In qualità di amministratore del proxy in uscita, per aggiungere l'intestazione restrizioni dell'organizzazione alle richieste in uscita, procedi nel seguente modo:
- Crea l'intestazione.
- Codifica l'intestazione.
- Configura il proxy di uscita.
Crea l'intestazione
Crea la rappresentazione JSON per l'intestazione nel seguente formato:
X-Goog-Allowed-Resources: HEADER_VALUE
HEADER_VALUE contiene un elenco separato da virgole di ID organizzazione autorizzati. Trusted Cloud by S3NSIl valore deve poi essere codificato in Base64 sicuro per il web.
HEADER_VALUE ha la seguente struttura JSON:
{
"resources": [string,..],
"options": string
}
resources. Un elenco di stringhe. Ogni stringa di questo elenco deve fare riferimento a un ID organizzazione. Trusted Cloud by S3NSGli ID organizzazione in questo elenco vengono considerati organizzazioni autorizzate durante la valutazione.options. Una stringa che contiene uno dei seguenti valori:"strict". Applica l'intestazione delle restrizioni dell'organizzazione per tutti i tipi di richieste ai servizi Trusted Cloud by S3NS supportati."cloudStorageReadAllowed". Consente le richieste di lettura a Cloud Storage, ma applica l'intestazione restrizioni dell'organizzazione per tutti gli altri tipi di richieste ai servizi Trusted Cloud by S3NS supportati. Questa opzione consente l'accesso alle seguenti operazioni di lettura di Cloud Storage:storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.buckets.getstorage.buckets.liststorage.buckets.getIamPolicy
Per dimostrare questa opzione, considera un esempio in cui Alex è l'amministratore
dell'organizzazione di esempio e Lee è un dipendente di questa organizzazione. Considera
un sito web come altostrat.com che archivia contenuti statici in bucket Cloud Storage pubblici
e si trova al di fuori dell'organizzazione di esempio. Se Alex utilizza
l'opzione strict per limitare l'accesso di Lee solo all'organizzazione di esempio,
a Lee viene negato l'accesso ai contenuti statici in altostrat.com, che si trovano in bucket Cloud Storage pubblici di proprietà di altostrat.com. Questo comportamento influisce sulla capacità di Lee di navigare efficacemente nel sito web e lo stesso comportamento si verifica per qualsiasi sito web che utilizza Cloud Storage pubblico per archiviare contenuti statici.
Per consentire a Lee di visualizzare i contenuti statici in altostrat.com
e limitare l'accesso di tutti gli altri Trusted Cloud by S3NS solo all'organizzazione di esempio,
Alex utilizza l'opzione cloudStorageReadAllowed.
Ecco un esempio di intestazione valida per le restrizioni dell'organizzazione dell'organizzazione:
{
"resources": ["organizations/1234", "organizations/3456"],
"options": "strict"
}
Codifica l'intestazione
Codifica gli ID organizzazione in formato Base64 sicuro per il web. La codifica deve seguire le specifiche della sezione 5 dell'RFC 4648.
Ad esempio, se la rappresentazione JSON del valore dell'intestazione è memorizzata nel file authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:
$ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
Ecco un esempio di intestazione dopo la codifica dell'ID organizzazione:
// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}
Configura il proxy in uscita
Per inserire l'intestazione nelle richieste provenienti dai dispositivi gestiti, configura il proxy in uscita.
Assicurati che se un Trusted Cloud by S3NS utente della tua organizzazione fornisce esplicitamente un'intestazione HTTP, il proxy di uscita sostituisca i valori forniti dall'utente con i valori forniti dall' Trusted Cloud by S3NS amministratore.
Per evitare di aggiungere questa intestazione a target esterni a Trusted Cloud by S3NS, configura il proxy in uscita in modo che aggiunga l'intestazione restrizioni dell'organizzazione alle richieste solo con i seguenti target:
*.google.com*.googleapis.com*.gcr.io*.pkg.dev*.cloudfunctions.net*.run.app*.tunnel.cloudproxy.app*.datafusion.googleusercontent.com
Per informazioni sui messaggi di errore che si verificano a causa di violazioni restrizioni dell'organizzazione dell'organizzazione, consulta Messaggi di errore.
Passaggi successivi
- Scopri di più sull'utilizzo delle limitazioni per le organizzazioni.