Questa pagina descrive le policy dell'organizzazione che puoi impostare per controllare l'abilitazione della protezione IAP per le applicazioni globali e regionali.
Panoramica
IAP è un servizio globale e qualsiasi configurazione IAP viene replicata a livello globale. Pertanto, se hai requisiti di conformità rigorosi per la residenza dei dati regionali a cui devi attenerti, potresti dover assicurarti che IAP non possa essere abilitato per le applicazioni nella tua organizzazione, in progetti specifici o in cartelle specifiche. Puoi controllare l'abilitazione di IAP impostando i vincoli delle policy dell'organizzazione.
Policy dell'organizzazione IAP
Le seguenti policy dell'organizzazione limitano l'abilitazione di IAP per le applicazioni globali e regionali:
- Globale:
iap.requireGlobalIapWebDisabled - Regionale:
iap.requireRegionalIapWebDisabled
Puoi utilizzare le policy dell'organizzazione per impedire agli amministratori di abilitare IAP sui seguenti servizi:
- Servizi di backend Compute Engine, riferimento API:
backendServices/regionBackendServicesoperazioni di inserimento, aggiornamento e patch - Applicazioni App Engine, riferimento API:
Applications.updateApplication
Quando abiliti uno o entrambi i vincoli delle policy, impedisci l'abilitazione futura di IAP rispettivamente sulle applicazioni globali o regionali. L'impostazione dei vincoli delle policy non disabilita automaticamente le protezioni IAP in vigore per le applicazioni Compute Engine o App Engine esistenti. Per le applicazioni esistenti su cui IAP è già abilitato, assicurati di renderle conformi alle policy appena impostate senza compromettere la tua strategia di sicurezza.
Le policy dell'organizzazione controllano in modo specifico e rigoroso solo l'abilitazione di IAP e non altri aspetti della configurazione di IAP. Quando è in vigore una policy dell'organizzazione, un amministratore può aggiornare qualsiasi impostazione IAP, incluse le informazioni sul client OAuth, per qualsiasi applicazione non conforme al momento dell'applicazione della policy. In questo modo, puoi mantenere una strategia di sicurezza efficace mentre lavori per rendere tutti i tuoi servizi conformi ai requisiti di residenza dei dati.