Cette page décrit les règles d'administration que vous pouvez définir pour contrôler l'activation de la protection IAP pour les applications mondiales et régionales.
Présentation
IAP est un service mondial, et toute configuration IAP est répliquée à l'échelle mondiale. Par conséquent, si vous devez respecter des exigences strictes de conformité en matière de résidence des données régionales, vous devrez peut-être vous assurer qu'IAP ne peut pas être activé pour les applications de votre organisation, dans des projets spécifiques ou dans des dossiers spécifiques. Vous pouvez contrôler l'activation d'IAP en définissant des contraintes de règles d'administration.
Règles d'administration IAP
Les règles d'administration suivantes limitent l'activation d'IAP pour les applications mondiales et régionales :
- Champ d'application global :
iap.requireGlobalIapWebDisabled - Champ d'application régional :
iap.requireRegionalIapWebDisabled
Vous pouvez utiliser les règles d'administration pour empêcher les administrateurs d'activer IAP sur les services suivants :
- Services de backend Compute Engine, documentation de référence sur l'API :
backendServices/regionBackendServicesopérations d'insertion, de mise à jour et de correction - Applications App Engine, documentation de référence sur l'API :
Applications.updateApplication
Lorsque vous activez une ou les deux contraintes de règle, cela empêche l'activation future d'IAP sur les applications mondiales ou régionales, respectivement. La définition des contraintes de règle ne désactive pas automatiquement les protections IAP en place pour les applications Compute Engine ou App Engine existantes. Pour les applications existantes sur lesquelles IAP est déjà activé, assurez-vous de les mettre en conformité avec les règles nouvellement définies sans compromettre votre niveau de sécurité.
Les règles d'administration contrôlent spécifiquement et strictement uniquement l'activation d'IAP, et non d'autres aspects de la configuration IAP. Lorsqu'une règle d'administration est en place, un administrateur peut mettre à jour n'importe quel paramètre IAP, y compris les informations sur le client OAuth, pour toute application non conforme au moment de l'application de la règle. Cela vous permet de maintenir un niveau de sécurité élevé tout en vous efforçant de mettre tous vos services en conformité avec les exigences de résidence des données.