Esta página descreve vários exemplos comuns de como usar restrições da organização.
Restrinja o acesso apenas à sua organização
Neste exemplo, o Trusted Cloud by S3NS administrador e o administrador do proxy de saída da organização A colaboram para restringir o acesso dos funcionários apenas aos recursos na respetiva Trusted Cloud by S3NS organização.
Para restringir o acesso apenas à sua organização, faça o seguinte:
Como Trusted Cloud by S3NS administrador, para obter o Trusted Cloud by S3NS ID da organização da organização A, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Trusted Cloud by S3NS administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restrinja o acesso à sua organização e permita pedidos de leitura aos recursos do Cloud Storage
Neste exemplo, o administrador e o administrador do proxy de saída da organização A colaboram para restringir o acesso dos funcionários apenas aos recursos na respetiva organização, exceto para pedidos de leitura de recursos do Cloud Storage. Trusted Cloud by S3NS Trusted Cloud by S3NS
Os administradores podem querer omitir pedidos de leitura a recursos do Cloud Storage da aplicação de restrições da organização para garantir que os respetivos funcionários podem aceder a Websites externos que usam o Cloud Storage para alojar conteúdo estático. O administrador
usa a opção cloudStorageReadAllowed para permitir pedidos de leitura a recursos do Cloud Storage.
Para restringir o acesso apenas à sua organização e permitir pedidos de leitura a recursos do Cloud Storage, faça o seguinte:
Como Trusted Cloud by S3NS administrador, para obter o Trusted Cloud by S3NS ID da organização da organização A, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Trusted Cloud by S3NS administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lOs funcionários da organização A têm agora acesso à respetiva Trusted Cloud by S3NS organização e acesso de leitura aos recursos do Cloud Storage.
Permitir que os funcionários acedam a uma organização Trusted Cloud by S3NS de fornecedores
Neste exemplo, o Trusted Cloud by S3NS administrador e o administrador do proxy de saída da organização B colaboram para permitir que os funcionários acedam a uma organização Trusted Cloud by S3NS de fornecedores, além da respetiva organização Trusted Cloud by S3NS existente.
Para restringir o acesso dos funcionários apenas à sua organização e à organização do fornecedor, faça o seguinte:
Como Trusted Cloud by S3NS administrador, interaja com o fornecedor para obter o Trusted Cloud by S3NS ID da organização do fornecedor.
Como administrador do proxy de saída, para incluir o ID da organização do fornecedor, além do ID da organização existente, tem de atualizar a representação JSON do valor do cabeçalho. Depois de receber o ID da organização do fornecedor do Trusted Cloud by S3NS administrador, atualize o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador do proxy de saída, configure o proxy de saída de modo que o seguinte cabeçalho do pedido seja inserido em todos os pedidos provenientes dos dispositivos geridos na organização B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KOs funcionários da organização B têm agora acesso ao fornecedor e às respetivas Trusted Cloud by S3NS organizações.
Restrinja o acesso apenas para carregamentos
Neste exemplo, o administrador e o administrador do proxy de saída da organização C colaboram para restringir o acesso ao carregamento dos funcionários apenas aos recursos na organização. Trusted Cloud by S3NS Trusted Cloud by S3NS
Para restringir o acesso ao carregamento apenas à sua organização, faça o seguinte:
Como Trusted Cloud by S3NS administrador, para obter o Trusted Cloud by S3NS ID da organização de Organization C, use o comando
gcloud organizations list:gcloud organizations listSegue-se o exemplo de resultado:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Enquanto administrador do proxy de saída, depois de obter o ID da organização do Trusted Cloud by S3NS administrador, crie a representação JSON para o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Enquanto administrador do proxy de saída, codifique o valor do cabeçalho do pedido seguindo as especificações da secção 5 da RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no ficheiro
authorized_orgs.json, para codificar o ficheiro, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador do proxy de saída, configure o proxy de saída de forma que o seguinte cabeçalho de pedido seja inserido apenas para pedidos com métodos PUT, POST e PATCH originários dos dispositivos geridos na organização C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
O que se segue?
- Saiba mais sobre os serviços suportados pelas restrições de organização.