Esta página descreve vários exemplos comuns de como usar as restrições da organização.
Restringir o acesso apenas à sua organização
Neste exemplo, o administrador Cloud de Confiance by S3NS e o administrador de proxy de saída da Organização A trabalham juntos para restringir o acesso dos funcionários apenas aos recursos da Cloud de Confiance by S3NS .
Para restringir o acesso apenas à sua organização, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, para conferir o ID da organização Cloud de Confiance by S3NS da Organização A, use o comando
gcloud organizations list:gcloud organizations listConfira abaixo um exemplo de saída:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de saída, depois de receber o ID da organização do administrador Cloud de Confiance by S3NS, compile a representação JSON do valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de saída, configure o proxy de saída para que o cabeçalho de solicitação a seguir seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restringir o acesso à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage
Neste exemplo, o administrador Cloud de Confiance by S3NS e o administrador de proxy de saída da
Organização A trabalham juntos para restringir o acesso dos funcionários apenas aos recursos da
Cloud de Confiance by S3NS , exceto para solicitações de leitura de recursos do Cloud Storage.
Os administradores podem omitir solicitações de leitura de recursos do Cloud Storage da
aplicação de restrições da organização para garantir que os funcionários possam acessar
sites externos que usam o Cloud Storage para hospedar conteúdo estático. O administrador
usa a opção cloudStorageReadAllowed para permitir solicitações de leitura aos recursos do Cloud Storage.
Para restringir o acesso apenas à sua organização e permitir solicitações de leitura aos recursos do Cloud Storage, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, para conferir o ID da organização Cloud de Confiance by S3NS da Organização A, use o comando
gcloud organizations list:gcloud organizations listConfira abaixo um exemplo de saída:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de saída, depois de receber o ID da organização do administrador Cloud de Confiance by S3NS, compõe a representação JSON do valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o comando basenc a seguir:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lComo administrador de proxy de saída, configure o proxy de saída para que o cabeçalho de solicitação a seguir seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lOs funcionários da Organização A agora têm acesso à organização Cloud de Confiance by S3NS e acesso de leitura aos recursos do Cloud Storage.
Permitir que os funcionários acessem uma organização Cloud de Confiance by S3NS do fornecedor
Neste exemplo, o Cloud de Confiance by S3NS administrador e o administrador de proxy de saída da Organização B trabalham juntos para permitir que os funcionários acessem uma organização Cloud de Confiance by S3NS do fornecedor além da organização Cloud de Confiance by S3NS atual.
Para restringir o acesso dos funcionários apenas à sua organização e à do fornecedor, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, entre em contato com o fornecedor para receber o ID da organização Cloud de Confiance by S3NSdele.
Como administrador de proxy de saída, para incluir o ID da organização do fornecedor além do ID da organização atual, atualize a representação JSON do valor do cabeçalho. Depois de receber o ID da organização do fornecedor do administrador Cloud de Confiance by S3NS, atualize o valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KComo administrador de proxy de saída, configure o proxy de saída para que o cabeçalho de solicitação a seguir seja inserido em todas as solicitações originadas dos dispositivos gerenciados na Organização B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KOs funcionários da Organização B agora têm acesso ao fornecedor e às Cloud de Confiance by S3NS organizações dele.
Restringir o acesso apenas para uploads
Neste exemplo, o administrador do proxy de saída e o administrador Cloud de Confiance by S3NS da Organização C trabalham juntos para restringir o acesso de upload dos funcionários apenas aos recursos na organizaçãoCloud de Confiance by S3NS .
Para restringir o acesso de upload apenas à sua organização, faça o seguinte:
Como Cloud de Confiance by S3NS administrador, para receber o ID da organização Cloud de Confiance by S3NS da Organização C, use o comando
gcloud organizations list:gcloud organizations listConfira abaixo um exemplo de saída:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4Como administrador de proxy de saída, depois de receber o ID da organização do administrador Cloud de Confiance by S3NS, compile a representação JSON do valor do cabeçalho no seguinte formato:
{ "resources": ["organizations/123456789"], "options": "strict" }Como administrador de proxy de saída, codifique o valor do cabeçalho da solicitação seguindo as especificações da seção 5 do RFC 4648.
Por exemplo, se a representação JSON do valor do cabeçalho estiver armazenada no arquivo
authorized_orgs.json, para codificar o arquivo, execute o seguinte comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoComo administrador de proxy de saída, configure o proxy de saída para que o seguinte cabeçalho de solicitação seja inserido apenas para solicitações com métodos PUT, POST e PATCH originadas dos dispositivos gerenciados na Organização C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
A seguir
- Saiba mais sobre os serviços com suporte às restrições da organização.