Esta página descreve vários exemplos comuns de como usar restrições da organização.
Restrinja o acesso apenas à sua organização
Neste exemplo, o Cloud de Confiance by S3NS administrador e o administrador do proxy de saída da organização A colaboram para restringir o acesso dos funcionários apenas aos recursos na respetiva Cloud de Confiance by S3NS organização.
Para restringir o acesso apenas à sua organização, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, para obter o Cloud de Confiance by S3NS ID da organização da organização A, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Cloud de Confiance by S3NS administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restrinja o acesso à sua organização e permita pedidos de leitura aos recursos do Cloud Storage
Neste exemplo, o administrador e o administrador do proxy de saída da organização A colaboram para restringir o acesso dos funcionários apenas aos recursos na respetiva organização, exceto para pedidos de leitura de recursos do Cloud Storage. Cloud de Confiance by S3NS Cloud de Confiance by S3NS
Os administradores podem querer omitir pedidos de leitura a recursos do Cloud Storage da aplicação de restrições da organização para garantir que os respetivos funcionários podem aceder a Websites externos que usam o Cloud Storage para alojar conteúdo estático. O administrador
usa a opção cloudStorageReadAllowed para permitir pedidos de leitura a recursos do Cloud Storage.
Para restringir o acesso apenas à sua organização e permitir pedidos de leitura a recursos do Cloud Storage, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, para obter o Cloud de Confiance by S3NS ID da organização da organização A, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Cloud de Confiance by S3NS administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lOs funcionários da organização A têm agora acesso à respetiva Cloud de Confiance by S3NS organização e acesso de leitura aos recursos do Cloud Storage.
Permitir que os funcionários acedam a uma organização Cloud de Confiance by S3NS de fornecedores
Neste exemplo, o Cloud de Confiance by S3NS administrador e o administrador do proxy de saída da organização B colaboram para permitir que os funcionários acedam a uma organização Cloud de Confiance by S3NS de fornecedores, além da respetiva organização Cloud de Confiance by S3NS existente.
Para restringir o acesso dos funcionários apenas à sua organização e à organização do fornecedor, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, interaja com o fornecedor para obter o Cloud de Confiance by S3NS ID da organização do fornecedor.
Como administrador do proxy de saída, para incluir o ID da organização do fornecedor, além do ID da organização existente, tem de atualizar a representação JSON do valor do cabeçalho. Depois de receber o ID da organização do fornecedor do Cloud de Confiance by S3NS administrador, atualize o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KOs funcionários da organização B têm agora acesso ao fornecedor e às respetivas Cloud de Confiance by S3NS organizações.
Restrinja o acesso apenas para carregamentos
Neste exemplo, o administrador e o administrador do proxy de saída da organização C colaboram para restringir o acesso ao carregamento dos funcionários apenas aos recursos na organização. Cloud de Confiance by S3NS Cloud de Confiance by S3NS
Para restringir o acesso ao carregamento apenas à sua organização, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, para obter o Cloud de Confiance by S3NS ID da organização de Organization C, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Cloud de Confiance by S3NS administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador do proxy de saída, configure o proxy de saída de forma que o seguinte cabeçalho de pedido seja inserido apenas para pedidos com métodos PUT, POST e PATCH originários dos dispositivos geridos na organização C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
O que se segue?
- Saiba mais sobre os serviços suportados pelas restrições de organização.