このページでは、Identity-Aware Proxy(IAP)がデータ所在地要件を満たす方法について説明します。データ所在地は、データが保存および処理される場所を表します。データが保存され、アクセスや転送が行われていない状態は「保存データ」と見なされます。認証と認可を提供するために IAP によってデータが処理されている場合、データは「使用中」と見なされます。IAP は使用中のデータのみを処理します。
IAP はリージョン ロケーションのみをサポートしており、コンプライアンスのためにマルチリージョンやその他の地理的境界を遵守していません。
データ所在地の要件
ロードバランサで Identity-Aware Proxy が有効になっており、選択したロードバランサのロケーション機能が最大でサポートされます。認証フローとリダイレクトの性質上、IAP はグローバル ロードバランサのデータ所在地をサポートできません。他のすべてのロードバランサの場合、IAP はロードバランサのロケーションでのみデータを処理します。
データが使用中の状態とは
次のデータは、IAP によって使用中とみなされます。
- リクエスト ヘッダー(例: `"foo": "bar"`)
- URL クエリ パラメータ(例: "?param=data")
データ所在地が適用される仕組み
IAP は、すべてのロケーションで、常に使用中のデータに対してデータ所在地を適用します。
リクエスト ヘッダー
IAP は、authorization や proxy-authorization などのリクエスト ヘッダーを使用してリクエストを適切に処理します。IAP は、受信ヘッダーを別の場所に送信、ルーティング、受信、リダイレクトしません。
URL クエリ パラメータ
認証リダイレクト中にデータが失われないようにするため、IAP はブラウザに Cookie を設定して、認証が完了するまでクエリ パラメータを一時的に保存します。Cookie は、ブラウザの Cookie サイズの仕様に合わせてページ分割されます。
__Secure_GCP_IAP_QUERY_PARAMS_page_<n>
制限事項
Cookie の数とサイズの制限は、主にブラウザによって異なります。ただし、IAP では、必要なエンコード後のクエリ パラメータのサイズが 16 KB に制限されます。これは、プレーン テキストで約 12 KB です。この上限を超えると、認証中のリダイレクトでクエリ パラメータが失われ、IAP から取得できなくなります。