本頁說明幾個常見的機構限制使用範例。
僅限貴機構中的使用者存取
在本例中,機構 A 的管理員和輸出 Proxy 管理員共同合作,限制員工只能存取所屬機構的資源。 Google Cloud Google Cloud
如要將存取權限制為僅限貴機構,請按照下列步驟操作:
身為 Google Cloud 管理員,如要取得機構 A 的 Google Cloud 機構 ID,請使用
gcloud organizations list指令:gcloud organizations list以下是輸出範例:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4身為輸出 Proxy 管理員,從 Google Cloud管理員取得機構 ID 後,請依下列格式編寫標頭值的 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }身為輸出 Proxy 管理員,請按照 RFC 4648 第 5 節的規格,為要求標頭編碼值。
舉例來說,如果標頭值的 JSON 表示法儲存在
authorized_orgs.json檔案中,如要編碼該檔案,請執行下列 basenc 指令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo身為輸出 Proxy 管理員,請設定輸出 Proxy,確保從機構 A 中受管理裝置發出的所有要求,都會插入下列要求標頭:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
限制貴機構的存取權,並允許對 Cloud Storage 資源提出讀取要求
在這個範例中,機構 A 的 Google Cloud 管理員和輸出 Proxy 管理員共同合作,限制員工只能存取Google Cloud 機構內的資源,但讀取 Cloud Storage 資源的要求除外。管理員可能會想從機構限制強制執行作業中,省略對 Cloud Storage 資源的讀取要求,確保員工可以存取使用 Cloud Storage 託管靜態內容的外部網站。管理員使用 cloudStorageReadAllowed 選項,允許對 Cloud Storage 資源發出讀取要求。
如要將存取權限制為僅限貴機構,並允許對 Cloud Storage 資源發出讀取要求,請按照下列步驟操作:
身為 Google Cloud 管理員,如要取得機構 A 的 Google Cloud 機構 ID,請使用
gcloud organizations list指令:gcloud organizations list以下是輸出範例:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4身為輸出 Proxy 管理員,從 Google Cloud管理員取得機構 ID 後,請依下列格式編寫標頭值的 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }身為輸出 Proxy 管理員,請按照 RFC 4648 第 5 節的規格,為要求標頭編碼值。
舉例來說,如果標頭值的 JSON 表示法儲存在
authorized_orgs.json檔案中,如要編碼該檔案,請執行下列 basenc 指令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l身為輸出 Proxy 管理員,請設定輸出 Proxy,確保從機構 A 中受管理裝置發出的所有要求,都會插入下列要求標頭:
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lA 機構的員工現在可以存取所屬機構,並具備 Cloud Storage 資源的讀取權。 Google Cloud
允許員工存取供應商 Google Cloud 機構
在這個範例中,機構 B 的 Google Cloud 管理員和輸出 Proxy 管理員共同合作,允許員工除了現有的 Google Cloud 機構外,也能存取供應商 Google Cloud 機構。
如要限制員工只能存取貴機構和供應商機構,請按照下列步驟操作:
Google Cloud 管理員應與供應商聯絡,取得供應商機構的機構 ID。 Google Cloud
身為輸出 Proxy 管理員,如要除了現有機構 ID 之外,還加入供應商機構 ID,您必須更新標頭值的 JSON 表示法。從 Google Cloud管理員取得供應商機構 ID 後,請更新標頭值,格式如下:
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }身為輸出 Proxy 管理員,請按照 RFC 4648 第 5 節的規格,為要求標頭編碼值。
舉例來說,如果標頭值的 JSON 表示法儲存在
authorized_orgs.json檔案中,如要編碼該檔案,請執行下列 basenc 指令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K身為輸出 Proxy 管理員,請設定輸出 Proxy,以便在機構 B 中受管理裝置發出的所有要求中插入下列要求標頭:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K現在,機構 B 的員工可以存取供應商和所屬機構。 Google Cloud
僅限制上傳存取權
在這個範例中,機構 C 的管理員和輸出 Proxy 管理員共同合作,限制員工只能在機構Google Cloud 中上傳資源。 Google Cloud
如要將上傳權限限制為僅限貴機構,請按照下列步驟操作:
身為 Google Cloud 管理員,如要取得機構 C 的 Google Cloud 機構 ID,請使用
gcloud organizations list指令:gcloud organizations list以下是輸出範例:
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4身為輸出 Proxy 管理員,從 Google Cloud管理員取得機構 ID 後,請依下列格式編寫標頭值的 JSON 表示法:
{ "resources": ["organizations/123456789"], "options": "strict" }身為輸出 Proxy 管理員,請按照 RFC 4648 第 5 節的規格,為要求標頭編碼值。
舉例來說,如果標頭值的 JSON 表示法儲存在
authorized_orgs.json檔案中,如要編碼該檔案,請執行下列 basenc 指令:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo輸出 Proxy 系統管理員設定輸出 Proxy 時,請確保只有來自機構 C 受管理裝置的 PUT、POST 和 PATCH 方法要求,才會插入下列要求標頭:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
後續步驟
- 瞭解機構限制支援的服務。