Auf dieser Seite werden die Organisationsrichtlinien beschrieben, die Sie festlegen können, um die Aktivierung des IAP-Schutzes für globale und regionale Anwendungen zu steuern.
Übersicht
IAP ist ein globaler Dienst und jede IAP-Konfiguration wird global repliziert. Wenn Sie daher strenge regionale Anforderungen an den Datenstandort einhalten müssen, müssen Sie möglicherweise dafür sorgen, dass IAP nicht für Anwendungen in Ihrer gesamten Organisation, in bestimmten Projekten oder in bestimmten Ordnern aktiviert werden kann. Sie können die IAP-Aktivierung steuern, indem Sie Einschränkungen für Organisationsrichtlinien festlegen.
IAP-Organisationsrichtlinien
Die folgenden Organisationsrichtlinien schränken die IAP-Aktivierung für globale und regionale Anwendungen ein:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Mit den Organisationsrichtlinien können Sie verhindern, dass Administratoren IAP für die folgenden Dienste aktivieren:
- Compute Engine-Back-End-Dienste, API-Referenz:
backendServices/regionBackendServicesmit den Vorgängen „Einfügen“, „Aktualisieren“ und „Patch anwenden“ - App Engine-Anwendungen, API-Referenz:
Applications.updateApplication
Wenn Sie eine oder beide Richtlinieneinschränkungen aktivieren, wird die zukünftige Aktivierung von IAP für globale bzw. regionale Anwendungen verhindert. Durch das Festlegen der Richtlinieneinschränkungen werden die IAP-Schutzmaßnahmen für vorhandene Compute Engine- oder App Engine-Anwendungen nicht automatisch deaktiviert. Für vorhandene Anwendungen, für die IAP bereits aktiviert ist, müssen Sie dafür sorgen, dass sie den neu festgelegten Richtlinien entsprechen, ohne Ihre Sicherheitslage zu beeinträchtigen.
Organisationsrichtlinien steuern ausschließlich und streng die IAP-Aktivierung und nicht andere Aspekte der IAP-Konfiguration. Wenn eine Organisationsrichtlinie vorhanden ist, kann ein Administrator alle IAP-Einstellungen, einschließlich der OAuth-Clientinformationen, für jede Anwendung aktualisieren, die zum Zeitpunkt der Richtlinienerzwingung nicht konform ist. So können Sie eine hohe Sicherheitslage aufrechterhalten und gleichzeitig alle Ihre Dienste mit den Anforderungen an den Datenstandort in Einklang bringen.