Halaman ini menjelaskan kebijakan organisasi yang dapat Anda tetapkan untuk mengontrol pengaktifan perlindungan IAP untuk aplikasi global dan regional.
Ringkasan
IAP adalah layanan global, dan setiap konfigurasi IAP direplikasi secara global. Oleh karena itu, jika Anda memiliki persyaratan kepatuhan residensi data regional yang ketat dan harus dipatuhi, Anda mungkin perlu memastikan bahwa IAP tidak dapat diaktifkan untuk aplikasi di seluruh organisasi, dalam project tertentu, atau dalam folder tertentu. Anda dapat mengontrol pengaktifan IAP dengan menetapkan batasan kebijakan organisasi.
Kebijakan organisasi IAP
Kebijakan organisasi berikut membatasi pengaktifan IAP untuk aplikasi global dan regional:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Anda dapat menggunakan kebijakan organisasi untuk mencegah admin mengaktifkan IAP di layanan berikut:
- Layanan backend Compute Engine, referensi API: operasi penyisipan, update, dan patch
backendServices/regionBackendServices - Aplikasi App Engine, referensi API:
Applications.updateApplication
Jika Anda mengaktifkan satu atau kedua batasan kebijakan, hal ini akan mencegah pengaktifan IAP di masa mendatang pada aplikasi global atau regional. Menetapkan batasan kebijakan tidak otomatis menonaktifkan perlindungan IAP yang diterapkan untuk aplikasi Compute Engine atau App Engine yang ada. Untuk aplikasi lama yang sudah mengaktifkan IAP, pastikan Anda mematuhi kebijakan yang baru ditetapkan tanpa mengorbankan postur keamanan Anda.
Kebijakan organisasi secara khusus dan ketat hanya mengontrol pengaktifan IAP dan bukan aspek konfigurasi IAP lainnya. Jika kebijakan organisasi diterapkan, administrator dapat memperbarui setelan IAP apa pun, termasuk informasi Klien OAuth, untuk aplikasi apa pun yang tidak mematuhi kebijakan pada saat penegakan kebijakan. Hal ini memungkinkan Anda mempertahankan postur keamanan yang kuat sekaligus berupaya membuat semua layanan Anda mematuhi persyaratan residensi data.