En esta página, se describen las políticas de la organización que puedes establecer para controlar la habilitación de la protección de IAP para aplicaciones globales y regionales.
Descripción general
IAP es un servicio global, y cualquier configuración de IAP se replica de forma global. Por lo tanto, si tienes requisitos estrictos de cumplimiento de residencia de datos regionales que debes cumplir, es posible que debas asegurarte de que IAP no se pueda habilitar para las aplicaciones de tu organización, en proyectos específicos o en carpetas específicas. Puedes controlar la habilitación de IAP si estableces restricciones de políticas de la organización.
Políticas de la organización de IAP
Las siguientes políticas de la organización restringen la habilitación de IAP para aplicaciones globales y regionales:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Puedes usar las políticas de la organización para evitar que los administradores habiliten IAP en los siguientes servicios:
- Servicios de backend de Compute Engine, referencia de la API:
backendServices/regionBackendServicesoperaciones de inserción, actualización y aplicación de parches - Aplicaciones de App Engine, referencia de la API:
Applications.updateApplication
Cuando habilitas una o ambas restricciones de políticas, se impide la habilitación futura de IAP en aplicaciones globales o regionales, respectivamente. Si estableces las restricciones de políticas, no se inhabilitan automáticamente las protecciones de IAP que están vigentes para las aplicaciones existentes de Compute Engine o App Engine. Para las aplicaciones existentes en las que IAP ya está habilitado, asegúrate de que cumplan con las políticas recién establecidas sin sacrificar tu postura de seguridad.
Las políticas de la organización controlan de forma específica y estricta solo la habilitación de IAP y no otros aspectos de la configuración de IAP. Cuando hay una política de la organización, un administrador puede actualizar cualquier configuración de IAP, incluida la información del cliente de OAuth, para cualquier aplicación que no cumpla con los requisitos en el momento de la aplicación de la política. Esto te permite mantener una postura de seguridad sólida mientras trabajas para que todos tus servicios cumplan con los requisitos de residencia de datos.