Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Se usó la API de Cloud Translation para traducir esta página.

Ejemplos de restricciones de la organización

En esta página, se describen varios ejemplos comunes de cómo usar las restricciones de organización.

Restringe el acceso solo a tu organización

En este ejemplo, el administrador de Cloud de Confiance by S3NS y el administrador de proxy de salida de la Organización A trabajan juntos para restringir el acceso de los empleados solo a los recursos de su organizaciónCloud de Confiance by S3NS .

Para restringir el acceso solo a tu organización, haz lo siguiente:

Como Cloud de Confiance by S3NS administrador, para obtener el Cloud de Confiance by S3NS ID de la organización de la Organización A, usa el comando gcloud organizations list:
```
    gcloud organizations list
```
El siguiente es el resultado de ejemplo:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Cloud de Confiance by S3NS, escribe la representación JSON para el valor del encabezado en el siguiente formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Como administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización A:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Restringe el acceso a tu organización y permite solicitudes de lectura a los recursos de Cloud Storage

En este ejemplo, el Cloud de Confiance by S3NS administrador y el administrador de proxy de salida de la Organización A trabajan juntos para restringir el acceso de los empleados solo a los recursos de su Cloud de Confiance by S3NS organización, excepto para las solicitudes de lectura a los recursos de Cloud Storage. Es posible que los administradores deseen omitir las solicitudes de lectura a los recursos de Cloud Storage de la aplicación forzosa de restricciones de la organización para garantizar que sus empleados puedan acceder a sitios web externos que usan Cloud Storage para alojar contenido estático. El administrador usa la opción cloudStorageReadAllowed para permitir solicitudes de lectura a los recursos de Cloud Storage.

Para restringir el acceso solo a tu organización y permitir solicitudes de lectura a los recursos de Cloud Storage, haz lo siguiente:

Como Cloud de Confiance by S3NS administrador, para obtener el Cloud de Confiance by S3NS ID de la organización de la Organización A, usa el comando gcloud organizations list:
```
    gcloud organizations list
```
El siguiente es el resultado de ejemplo:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Cloud de Confiance by S3NS, escribe la representación JSON para el valor del encabezado en el siguiente formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "cloudStorageReadAllowed"
 }
```
Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Como administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización A:
```
 X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Los empleados de la organización A ahora tienen acceso a su Cloud de Confiance by S3NS organización y acceso de lectura a los recursos de Cloud Storage.

Permite que los empleados accedan a una organización Cloud de Confiance by S3NS de proveedores

En este ejemplo, el administrador Cloud de Confiance by S3NS y el administrador de proxy de salida de la Organización B trabajan juntos para permitir que los empleados accedan a una organización Cloud de Confiance by S3NS de proveedores, además de su organización Cloud de Confiance by S3NS existente.

Para restringir el acceso de los empleados solo a tu organización y a la organización del proveedor, haz lo siguiente:

Como Cloud de Confiance by S3NS administrador, comunícate con el proveedor para obtener el Cloud de Confiance by S3NS ID de organización de la organización del proveedor.
Como administrador de proxy de salida, para incluir el ID de la organización del proveedor además del ID de la organización existente, debes actualizar la representación JSON del valor del encabezado. Después de obtener el ID de la organización del proveedor del administrador de Cloud de Confiance by S3NS, actualiza el valor del encabezado con el siguiente formato:
```
 {
 "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
 }
```
Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Como administrador de proxy de salida, configura el proxy de salida de modo que se inserte el siguiente encabezado de solicitud en todas las solicitudes que se originen en los dispositivos administrados de la organización B:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Los empleados de la organización B ahora tienen acceso al proveedor y a sus Cloud de Confiance by S3NS organizaciones.

Restringe el acceso solo para las cargas

En este ejemplo, el administrador de Cloud de Confiance by S3NS y el administrador de proxy de salida de la Organización C trabajan juntos para restringir el acceso de carga de los empleados solo a los recursos de la organizaciónCloud de Confiance by S3NS .

Para restringir el acceso de carga solo a tu organización, haz lo siguiente:

Como Cloud de Confiance by S3NS administrador, para obtener el Cloud de Confiance by S3NS ID de la organización de la Organización C, usa el comando gcloud organizations list:
```
    gcloud organizations list
```
El siguiente es el resultado de ejemplo:
```
    DISPLAY_NAME: Organization C
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
Como administrador de proxy de salida, después de obtener el ID de la organización del administrador de Cloud de Confiance by S3NS, escribe la representación JSON para el valor del encabezado en el siguiente formato:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
Como administrador de proxy de salida, codifica el valor del encabezado de solicitud siguiendo las especificaciones de la sección 5 de la RFC 4648.

Por ejemplo, si la representación JSON del valor del encabezado se almacena en el archivo authorized_orgs.json, para codificarlo, ejecuta el siguiente comando basenc:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
Como administrador de proxy de salida, configura el proxy de salida de modo que el siguiente encabezado de solicitud se inserte solo para las solicitudes con métodos PUT, POST y PATCH que se originen en los dispositivos administrados de la organización C:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

¿Qué sigue?

Obtén más información sobre los servicios compatibles con las restricciones de la organización.