בדף הזה מתוארים כללי המדיניות של הארגון שאפשר להגדיר כדי לשלוט בהפעלת ההגנה של IAP על אפליקציות גלובליות ואזוריות.
סקירה כללית
IAP הוא שירות גלובלי, וכל הגדרה של IAP משוכפלת באופן גלובלי. לכן, אם יש לכם דרישות מחמירות בנושא תאימות למיקום נתונים אזורי שאתם חייבים לעמוד בהן, יכול להיות שתצטרכו לוודא שלא ניתן להפעיל את IAP באפליקציות בארגון, בפרויקטים ספציפיים או בתיקיות ספציפיות. אפשר לשלוט בהפעלת הרכישות מתוך האפליקציה באמצעות הגדרת אילוצים של מדיניות הארגון.
מדיניות הארגון ב-IAP
כללי מדיניות הארגון הבאים מגבילים את ההפעלה של IAP באפליקציות גלובליות ואזוריות:
- גלובלי:
iap.requireGlobalIapWebDisabled - אזורי:
iap.requireRegionalIapWebDisabled
אתם יכולים להשתמש במדיניות הארגון כדי למנוע מאדמינים להפעיל את IAP בשירותים הבאים:
- שירותים לקצה העורפי של Compute Engine, הפניה ל-API: פעולות insert, update ו-patch
backendServices/regionBackendServices - אפליקציות App Engine, הפניית API:
Applications.updateApplication
כשמפעילים את אחד מאילוצי המדיניות או את שניהם, נמנעת הפעלה עתידית של רכישות מתוך האפליקציה באפליקציות גלובליות או אזוריות, בהתאמה. הגדרת אילוצי המדיניות לא משביתה באופן אוטומטי את אמצעי ההגנה על רכישות מתוך האפליקציה שמוגדרים באפליקציות קיימות של Compute Engine או App Engine. אם יש לכם אפליקציות קיימות שבהן כבר מופעלת רכישה מתוך האפליקציה, חשוב לוודא שהן עומדות בדרישות של כללי המדיניות החדשים בלי לפגוע ברמת האבטחה שלכם.
מדיניות הארגון שולטת באופן ספציפי ומוחלט רק בהפעלת הרכישות מתוך האפליקציה, ולא בהיבטים אחרים של הגדרת הרכישות מתוך האפליקציה. כשמדיניות ארגונית מופעלת, אדמין יכול לעדכן כל הגדרה של IAP, כולל פרטים של לקוח OAuth, לכל אפליקציה שלא עומדת בדרישות בזמן אכיפת המדיניות. כך תוכלו לשמור על רמת אבטחה גבוהה בזמן שאתם פועלים להבטיח שכל השירותים שלכם יעמדו בדרישות של שמירת נתונים.