Auf dieser Seite finden Sie einige gängige Beispiele für die Verwendung von Organisationseinschränkungen.
Zugriff nur auf Ihre Organisation beschränken
In diesem Beispiel arbeiten der Cloud de Confiance by S3NS -Administrator und der Administrator des ausgehenden Proxys der Organisation A zusammen, um den Zugriff der Mitarbeiter auf Ressourcen in ihrerCloud de Confiance by S3NS -Organisation einzuschränken.
So schränken Sie den Zugriff auf Ihre Organisation ein:
Als Cloud de Confiance by S3NS Administrator können Sie die Cloud de Confiance by S3NS Organisations-ID von Organisation A mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDie Beispielausgabe sieht so aus:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Cloud de Confiance by S3NS-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Zugriff auf Ihre Organisation einschränken und Leseanfragen für Cloud Storage-Ressourcen zulassen
In diesem Beispiel arbeiten der Cloud de Confiance by S3NS Administrator und der Administrator des ausgehenden Proxys von Organisation A zusammen, um den Zugriff der Mitarbeiter auf Ressourcen in ihrerCloud de Confiance by S3NS Organisation einzuschränken, mit Ausnahme von Leseanfragen an Cloud Storage-Ressourcen.
Administratoren können Leseanfragen an Cloud Storage-Ressourcen von der Durchsetzung von Organisationsbeschränkungen ausschließen, damit ihre Mitarbeiter auf externe Websites zugreifen können, die statische Inhalte mit Cloud Storage hosten. Der Administrator verwendet die Option cloudStorageReadAllowed, um Leseanfragen an Cloud Storage-Ressourcen zuzulassen.
So beschränken Sie den Zugriff auf Ihre Organisation und erlauben Leseanfragen für Cloud Storage-Ressourcen:
Als Cloud de Confiance by S3NS Administrator können Sie die Cloud de Confiance by S3NS Organisations-ID von Organisation A mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDie Beispielausgabe sieht so aus:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Cloud de Confiance by S3NS-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation A stammen:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lDie Mitarbeiter von Organisation A haben jetzt Zugriff auf ihre Cloud de Confiance by S3NS Organisation und Lesezugriff auf Cloud Storage-Ressourcen.
Mitarbeitern Zugriff auf eine Anbieterorganisation gewähren Cloud de Confiance by S3NS
In diesem Beispiel arbeiten der Cloud de Confiance by S3NS Administrator und der Administrator des ausgehenden Proxys von Organisation B zusammen, um Mitarbeitern Zugriff auf eine Cloud de Confiance by S3NS Kundenorganisation zusätzlich zu ihrer bestehenden Cloud de Confiance by S3NS Organisation zu ermöglichen.
So beschränken Sie den Mitarbeiterzugriff auf Ihre Organisation und die des Anbieters:
Als Cloud de Confiance by S3NS Administrator müssen Sie sich an den Anbieter wenden, um die Cloud de Confiance by S3NSOrganisations-ID der Anbieterorganisation zu erhalten.
Wenn Sie als Administrator eines ausgehenden Proxys die Anbieterorganisations-ID zusätzlich zur vorhandenen Organisations-ID angeben möchten, müssen Sie die JSON-Darstellung für den Headerwert aktualisieren. Nachdem Sie die Anbieterorganisations-ID vom Cloud de Confiance by S3NSAdministrator erhalten haben, aktualisieren Sie den Headerwert im folgenden Format:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader in alle Anfragen eingefügt wird, die von den verwalteten Geräten in Organisation B stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KDie Mitarbeiter von Organisation B haben jetzt Zugriff auf den Anbieter und ihre Cloud de Confiance by S3NS Organisationen.
Zugriff nur für Uploads einschränken
In diesem Beispiel arbeiten der Cloud de Confiance by S3NS -Administrator und der Administrator des ausgehenden Proxys von Organisation C zusammen, um den Uploadzugriff der Mitarbeiter auf Ressourcen in derCloud de Confiance by S3NS -Organisation einzuschränken.
So schränken Sie den Uploadzugriff auf Ihre Organisation ein:
Als Cloud de Confiance by S3NS Administrator können Sie die Cloud de Confiance by S3NS Organisations-ID von Organisation C mit dem Befehl
gcloud organizations listabrufen:gcloud organizations listDie Beispielausgabe sieht so aus:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Nachdem Sie als Administrator des ausgehenden Proxys die Organisations-ID vom Cloud de Confiance by S3NS-Administrator erhalten haben, erstellen Sie die JSON-Darstellung für den Headerwert im folgenden Format:
{ "resources": ["organizations/123456789"], "options": "strict" }Als Administrator eines Ausstiegs-Proxys müssen Sie den Wert für den Anfrageheader gemäß den Spezifikationen in Abschnitt 5 von RFC 4648 codieren.
Wenn die JSON-Darstellung für den Headerwert beispielsweise in der Datei
authorized_orgs.jsongespeichert ist, führen Sie zum Codieren der Datei den folgenden basenc-Befehl aus:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoAls Administrator des ausgehenden Proxys konfigurieren Sie den ausgehenden Proxy so, dass der folgende Anfrageheader nur für Anfragen mit PUT-, POST- und PATCH-Methoden eingefügt wird, die von den verwalteten Geräten in Organisation C stammen:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo