Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS. Consulte Diferenças do Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Configurar restrições da organização

Nesta página, descrevemos os pré-requisitos para a configuração do proxy de saída, como conseguir o ID da organização, adicionar o cabeçalho de restrições para organizações e configurar o proxy com a lista de URLs de destino.

Os administradores doTrusted Cloud by S3NS , que gerenciam o Trusted Cloud by S3NS, e os administradores de proxy de saída que configuram esse elemento precisam trabalhar juntos para definir as restrições para organizações. Para informações sobre soluções de parceiros validadas com restrições para organizações, consulte Soluções de parceiros validadas.

Antes de começar

Se você for um administrador de proxy de saída, antes de configurar o proxy para adicionar o cabeçalho de restrições para organizações, conclua os seguintes pré-requisitos:

Se as funções de administrador do Trusted Cloud by S3NS e de proxy de saída forem diferentes na sua organização, verifique se o administrador do Trusted Cloud by S3NS está trabalhando com o administrador de proxy de saída para configurar o proxy de saída.
Configure as regras de firewall da sua organização ou os dispositivos gerenciados para garantir que o tráfego de saída de todos os usuários da organização passe pelo proxy de saída.
Verifique se o proxy de saída na sua organização tem os seguintes recursos:
- Inserir cabeçalhos. Insere um cabeçalho HTTP personalizado nas solicitações de saída que passam pelo proxy de saída.
- Inspeção de TLS. Se o tráfego para o proxy de saída estiver criptografado, ele precisará descriptografar os pacotes, inserir o cabeçalho e criptografar novamente o pacote antes de enviá-lo ao destino.
- Filtrar e inserir cabeçalhos. Opcional. Adicione um ou mais dos seguintes filtros e inclua o cabeçalho apenas para solicitações que correspondam à condição de filtro:
  - URLs de destino: uma lista de URLs de destino que o proxy de saída pode corresponder.
  - IDs do dispositivo. Uma lista de IDs de dispositivos que o proxy de saída pode corresponder. Os IDs de dispositivo precisam ser propagados para o proxy de saída.
  - User-IDs. Uma lista de IDs de usuário que o proxy de saída pode corresponder. Os IDs de usuário precisam ser propagados para o proxy de saída.

Receber o ID da organização

Como administrador do Trusted Cloud by S3NS , você precisa receber o ID da organização Trusted Cloud by S3NSpara que ele possa ser adicionado ao cabeçalho de restrições para organizações.

Para encontrar o ID do recurso da organização, execute o seguinte comando:

   gcloud organizations list

Esse comando lista todos os recursos da organização a que você pertence e os IDs correspondentes.

Depois de receber o ID da organização, você pode adicionar o cabeçalho de restrições para organizações ou entrar em contato com o administrador de proxy de saída para adicionar o cabeçalho.

Adicionar o cabeçalho de restrições para organizações

Como administrador de proxy de saída, para adicionar o cabeçalho de restrições para organizações a solicitações de saída, faça o seguinte:

Crie o cabeçalho.
Codifique o cabeçalho.
Configure o proxy de saída.

Criar o cabeçalho

Crie a representação JSON do cabeçalho no seguinte formato: X-Goog-Allowed-Resources: HEADER_VALUE

HEADER_VALUE contém uma lista separada por vírgulas de IDs de organização Trusted Cloud by S3NSautorizados. Em seguida, o valor precisa ser codificado em base64 segura para a Web.

HEADER_VALUE tem a seguinte estrutura JSON:

  {
  "resources": [string,..],
  "options": string
  }

resources. Uma lista de strings. Cada string nessa lista precisa se referir a um ID da organização Trusted Cloud by S3NS. Os IDs de organização nessa lista são considerados organizações autorizadas durante a avaliação.
options. Uma string que contém um dos seguintes valores:
- "strict". Aplica o cabeçalho de restrições para organizações a todos os tipos de solicitações aos serviços Trusted Cloud by S3NS compatíveis.
- "cloudStorageReadAllowed". Permite solicitações de leitura para o Cloud Storage, mas impõe o cabeçalho de restrições para organizações para todos os outros tipos de solicitação aos serviços Trusted Cloud by S3NS compatíveis. Essa opção permite o acesso às seguintes operações de leitura do Cloud Storage:
  - storage.objects.get
  - storage.objects.list
  - storage.objects.getIamPolicy
  - storage.buckets.get
  - storage.buckets.list
  - storage.buckets.getIamPolicy

Para demonstrar essa opção, considere um exemplo em que Alex é o administrador da Organização de exemplo e Lee é um funcionário dessa organização. Considere um site como altostrat.com que armazena conteúdo estático em buckets públicos do Cloud Storage e está fora da Example Organization. Se Alex usar a opção strict para restringir o acesso de Lee apenas à Example Organization, o acesso de Lee ao conteúdo estático em altostrat.com, que existe em buckets públicos do Cloud Storage de propriedade de altostrat.com, será negado. Esse comportamento afeta a capacidade de Lee de navegar no site de maneira eficaz, e o mesmo comportamento é experimentado em qualquer site que use o Cloud Storage público para armazenar conteúdo estático. Para permitir que Lee veja o conteúdo estático em altostrat.com e restringir todos os outros acessos Trusted Cloud by S3NS somente à Example Organization, Alex usa a opção cloudStorageReadAllowed.

Confira um exemplo de cabeçalho de restrições para organizações válido:

  {
  "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
  }

Codificar o cabeçalho

Codifique os IDs da organização no formato base64 seguro para a Web. A codificação precisa seguir as especificações da seção 5 da RFC 4648.

Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:

     $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K

Confira um exemplo de cabeçalho após codificar o ID da organização:

// Encoded representation
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K

// Plain-text representation (As HTTP disallows some characters, encode the organization ID)
// Plain-text representation is included here only for readability
X-Goog-Allowed-Resources: {"resources": ["organizations/1234", "organizations/3456"], "options": "strict"}

Configurar o proxy de saída

Para inserir o cabeçalho em solicitações originadas dos dispositivos gerenciados, configure o proxy de saída.

Verifique se, quando um usuário Trusted Cloud by S3NS na sua organização fornece explicitamente um cabeçalho HTTP, o proxy de saída substitui os valores fornecidos pelo usuário pelos valores fornecidos pelo administrador Trusted Cloud by S3NS .

Para evitar adicionar esse cabeçalho a destinos fora de Trusted Cloud by S3NS, configure o proxy de saída para adicionar o cabeçalho de restrições para organizações a solicitações apenas com os seguintes destinos:

*.google.com
*.googleapis.com
*.gcr.io
*.pkg.dev
*.cloudfunctions.net
*.run.app
*.tunnel.cloudproxy.app
*.datafusion.googleusercontent.com

Para informações sobre mensagens de erro que ocorrem devido a violações restrições para organizações, consulte mensagens de erro.

A seguir

Saiba mais sobre como usar restrições da organização.