In questa pagina vengono descritti diversi esempi comuni di utilizzo delle restrizioni dell'organizzazione.
Limitare l'accesso solo alla tua organizzazione
In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita del L'organizzazione A collabora per consentire ai dipendenti di accedere solo alle risorse del proprio dell'organizzazione Google Cloud.
Per limitare l'accesso solo alla tua organizzazione:
Come amministratore di Google Cloud, per ottenere l'ID organizzazione Google Cloud dell'organizzazione A, utilizza il comando
gcloud organizations list:gcloud organizations listDi seguito è riportato l'output di esempio:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4In qualità di amministratore del proxy in uscita, dopo aver ottenuto l'ID organizzazione da Google Cloud scrivi la rappresentazione JSON per il valore dell'intestazione nel seguente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche RFC 4648 Section 5.
Ad esempio, se la rappresentazione JSON per il valore dell'intestazione è memorizzata nel file
authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoIn qualità di amministratore del proxy in uscita, configura il proxy in uscita in modo che: l'intestazione della richiesta viene inserita in tutte le richieste provenienti dai dispositivi gestiti nell'organizzazione A:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Limita l'accesso alla tua organizzazione e consenti le richieste di lettura alle risorse Cloud Storage
In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita del
L'organizzazione A collabora per consentire ai dipendenti di accedere solo alle risorse del proprio
Organizzazione Google Cloud, ad eccezione delle richieste di lettura alle risorse Cloud Storage.
Gli amministratori potrebbero voler omettere le richieste di lettura alle risorse Cloud Storage dall'applicazione delle limitazioni dell'organizzazione per assicurarsi che i dipendenti possano accedere ai siti web esterni che utilizzano Cloud Storage per ospitare contenuti statici. L'amministratore
utilizza l'opzione cloudStorageReadAllowed per consentire le richieste di lettura alle risorse Cloud Storage.
Per limitare l'accesso solo alla tua organizzazione e consentire le richieste di lettura a Cloud Storage di Google Cloud, procedi nel seguente modo:
In qualità di amministratore di Google Cloud, per ottenere l'ID organizzazione Google Cloud Organizzazione A, utilizza il comando
gcloud organizations list:gcloud organizations listDi seguito è riportato l'output di esempio:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4In qualità di amministratore del proxy in uscita, dopo aver ottenuto l'ID organizzazione da Google Cloud scrivi la rappresentazione JSON per il valore dell'intestazione nel seguente formato:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche RFC 4648 Section 5.
Ad esempio, se la rappresentazione JSON per il valore dell'intestazione viene archiviata
authorized_orgs.json, per codificare il file, esegui questo comando Comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lIn qualità di amministratore del proxy in uscita, configura il proxy in uscita in modo che: l'intestazione della richiesta viene inserita in tutte le richieste provenienti dai dispositivi gestiti nell'organizzazione A:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lI dipendenti dell'organizzazione A ora hanno accesso alla propria organizzazione Google Cloud e accesso in lettura alle risorse Cloud Storage.
Consenti ai dipendenti di accedere a un'organizzazione Google Cloud del fornitore
In questo esempio, l'amministratore di Google Cloud e l'amministratore del proxy in uscita del L'organizzazione B collabora per consentire ai dipendenti di accedere a un'organizzazione Google Cloud del fornitore oltre a quella esistente Google Cloud.
Per limitare l'accesso dei dipendenti solo alla tua organizzazione e all'organizzazione del fornitore:
In qualità di amministratore di Google Cloud, collabora con il fornitore per ottenere dell'organizzazione del fornitore.
In qualità di amministratore del proxy in uscita, per includere l'ID organizzazione del fornitore oltre all'ID organizzazione devi aggiornare la rappresentazione JSON per il valore dell'intestazione. Dopo aver ottenuto l'ID organizzazione del fornitore da Google Cloud aggiorna il valore dell'intestazione nel seguente formato:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche RFC 4648 Section 5.
Ad esempio, se la rappresentazione JSON del valore dell'intestazione è memorizzata nel file
authorized_orgs.json, per codificare il file, esegui il seguente comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KIn qualità di amministratore del proxy in uscita, configura il proxy in modo che la seguente intestazione della richiesta venga inserita in tutte le richieste provenienti dai dispositivi gestiti nell'organizzazione B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KOra i dipendenti dell'organizzazione B hanno accesso sia al fornitore che alle rispettive organizzazioni Google Cloud.
Limita l'accesso solo per i caricamenti
In questo esempio, l'amministratore Google Cloud e l'amministratore del proxy in uscita dell'organizzazione C collaborano per limitare l'accesso in upload dei dipendenti solo alle risorse dell'organizzazione Google Cloud.
Per limitare l'accesso al caricamento solo alla tua organizzazione:
In qualità di amministratore di Google Cloud, per ottenere l'ID organizzazione Google Cloud Organizzazione C, usa il comando
gcloud organizations list:gcloud organizations listDi seguito è riportato l'output di esempio:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4In qualità di amministratore del proxy in uscita, dopo aver ottenuto l'ID organizzazione da Google Cloud scrivi la rappresentazione JSON per il valore dell'intestazione nel seguente formato:
{ "resources": ["organizations/123456789"], "options": "strict" }In qualità di amministratore del proxy in uscita, codifica il valore per l'intestazione della richiesta seguendo le specifiche RFC 4648 Section 5.
Ad esempio, se la rappresentazione JSON per il valore dell'intestazione viene archiviata
authorized_orgs.json, per codificare il file, esegui questo comando Comando basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoIn qualità di amministratore del proxy in uscita, configura il proxy in modo che la seguente intestazione della richiesta venga inserita solo per le richieste con metodi PUT, POST e PATCH provenienti dai dispositivi gestiti dell'organizzazione C:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Passaggi successivi
- Scopri di più sui servizi supportati dalle restrizioni dell'organizzazione.