このページの一部またはすべての情報は、Cloud de Confiance by S3NS に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

このページは Cloud Translation API によって翻訳されました。

組織内アクセス制限の例

このページでは、組織内アクセス制限の使用方法の一般的な例について説明します。

組織のみにアクセスを制限する

この例では、組織 A の Cloud de Confiance by S3NS 管理者と下り（外向き）プロキシ管理者が連携して、従業員がCloud de Confiance by S3NS 組織内のリソースにのみアクセスできるようにします。

アクセスを組織のみに制限するには、次の操作を行います。

Cloud de Confiance by S3NS 管理者は、組織 A の組織 ID を取得するために、gcloud organizations list コマンドを使用します。 Cloud de Confiance by S3NS
```
    gcloud organizations list
```
出力例は次のとおりです。
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
下り（外向き）プロキシ管理者は、 Cloud de Confiance by S3NS管理者から組織 ID を取得したら、次の形式でヘッダー値の JSON 表現を作成します。
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
下り（外向き）プロキシ管理者は、RFC 4648 セクション 5 の仕様に沿って、リクエストヘッダーの値をエンコードします。

たとえば、ヘッダー値の JSON 表現が authorized_orgs.json ファイルに保存されている場合、ファイルをエンコードするには、次の basenc コマンドを実行します。
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
下り（外向き）プロキシ管理者として、組織 A の管理対象デバイスから送信されるすべてのリクエストに次のリクエストヘッダーが挿入されるように下り（外向き）プロキシを構成します。
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

組織へのアクセスを制限し、Cloud Storage リソースに対する読み取りリクエストを許可する

この例では、組織 A の Cloud de Confiance by S3NS 管理者と下り（外向き）プロキシ管理者が連携して、従業員が Cloud Storage リソースへの読み取りリクエストを除き、Cloud de Confiance by S3NS 組織内のリソースにのみアクセスできるようにします。管理者は、従業員が Cloud Storage を使用して静的コンテンツをホストする外部ウェブサイトにアクセスできるようにするために、組織内アクセス制限の適用から Cloud Storage リソースへの読み取りリクエストを省略することをおすすめします。管理者は cloudStorageReadAllowed オプションを使用して、Cloud Storage リソースに対する読み取りリクエストを許可します。

次のようにして、組織にのみアクセスを制限し、Cloud Storage リソースに対する読み取りリクエストを許可します。

Cloud de Confiance by S3NS 管理者は、組織 A の組織 ID を取得するために、gcloud organizations list コマンドを使用します。 Cloud de Confiance by S3NS
```
    gcloud organizations list
```
出力例は次のとおりです。
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
下り（外向き）プロキシ管理者は、 Cloud de Confiance by S3NS管理者から組織 ID を取得したら、次の形式でヘッダー値の JSON 表現を作成します。
```
 {
 "resources": ["organizations/123456789"],
  "options": "cloudStorageReadAllowed"
 }
```
下り（外向き）プロキシ管理者は、RFC 4648 セクション 5 の仕様に沿って、リクエストヘッダーの値をエンコードします。

たとえば、ヘッダー値の JSON 表現が authorized_orgs.json ファイルに保存されている場合、ファイルをエンコードするには、次の basenc コマンドを実行します。
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
下り（外向き）プロキシ管理者として、組織 A の管理対象デバイスから送信されるすべてのリクエストに次のリクエストヘッダーが挿入されるように下り（外向き）プロキシを構成します。
```
 X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
組織 A の従業員は、組織にアクセスできるようになり、Cloud Storage リソースへの読み取りアクセス権を取得します。 Cloud de Confiance by S3NS

従業員がベンダーの組織にアクセスできるようにする Cloud de Confiance by S3NS

この例では、組織 B の Cloud de Confiance by S3NS 管理者と下り（外向き）プロキシ管理者が連携して、従業員が既存の Cloud de Confiance by S3NS 組織に加えて、ベンダーの Cloud de Confiance by S3NS 組織にアクセスできるようにします。

従業員によるアクセスを組織とベンダーの組織のみに制限するには、次の手順を実施します。

Cloud de Confiance by S3NS 管理者は、ベンダーと連携して、ベンダー組織の組織 ID を取得します。 Cloud de Confiance by S3NS
下り（外向き）プロキシ管理者は、既存の組織 ID に加えてベンダー組織 ID を含めるには、ヘッダー値の JSON 表現を更新する必要があります。 Cloud de Confiance by S3NS管理者からベンダー組織 ID を取得したら、次の形式でヘッダー値を更新します。
```
 {
 "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
 }
```
下り（外向き）プロキシ管理者は、RFC 4648 セクション 5 の仕様に沿って、リクエストヘッダーの値をエンコードします。

たとえば、ヘッダー値の JSON 表現が authorized_orgs.json ファイルに保存されている場合、ファイルをエンコードするには、次の basenc コマンドを実行します。
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
下り（外向き）プロキシ管理者として、組織 B の管理対象デバイスから送信されるすべてのリクエストに次のリクエストヘッダーが挿入されるように下り（外向き）プロキシを構成します。
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
これで、組織 B の従業員はベンダーと自分の組織の両方にアクセスできるようになります。 Cloud de Confiance by S3NS

アップロードのみにアクセスを制限する

この例では、組織 C の Cloud de Confiance by S3NS 管理者と下り（外向き）プロキシ管理者が連携して、従業員のアップロードアクセスを組織内のリソースのみに制限します。Cloud de Confiance by S3NS

アップロードアクセスを組織のみに制限するには、次の操作を行います。

Cloud de Confiance by S3NS 管理者は、組織 C の組織 ID を取得するために、gcloud organizations list コマンドを使用します。 Cloud de Confiance by S3NS
```
    gcloud organizations list
```
出力例は次のとおりです。
```
    DISPLAY_NAME: Organization C
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
下り（外向き）プロキシ管理者は、 Cloud de Confiance by S3NS管理者から組織 ID を取得したら、次の形式でヘッダー値の JSON 表現を作成します。
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
下り（外向き）プロキシ管理者は、RFC 4648 セクション 5 の仕様に沿って、リクエストヘッダーの値をエンコードします。

たとえば、ヘッダー値の JSON 表現が authorized_orgs.json ファイルに保存されている場合、ファイルをエンコードするには、次の basenc コマンドを実行します。
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
下り（外向き）プロキシ管理者として、組織 C の管理者対象デバイスから送信される PUT、POST、PATCH メソッドのリクエストに対してのみ次のリクエストヘッダーが挿入されるように下り（外向き）プロキシを構成します。
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

次のステップ

組織内アクセス制限でサポートされているサービスについて学ぶ。