本頁說明可設定的組織政策,用來控管全域和區域應用程式的 IAP 保護機制啟用狀態。
總覽
IAP 是全球服務,任何 IAP 設定都會在全球複製。因此,如果您有必須遵守的嚴格區域資料落地法規遵循規定,可能需要確保無法為整個機構、特定專案或特定資料夾中的應用程式啟用 IAP。您可以設定組織政策限制,控管是否啟用 IAP。
IAP 組織政策
下列組織政策會限制全域和區域應用程式啟用 IAP:
- 全域:
iap.requireGlobalIapWebDisabled - 地區性:
iap.requireRegionalIapWebDisabled
您可以使用組織政策,禁止管理員在下列服務中啟用 IAP:
- Compute Engine 後端服務,API 參考資料:
backendServices/regionBackendServices插入、更新和修補作業 - App Engine 應用程式 API 參考資料:
Applications.updateApplication
啟用一或兩項政策限制後,系統會禁止日後在全域或區域應用程式上啟用 IAP。設定政策限制不會自動停用現有 Compute Engine 或 App Engine 應用程式的 IAP 保護措施。對於已啟用 IAP 的現有應用程式,請確保這些應用程式符合新設定的政策,同時維持安全性狀態。
組織政策只會嚴格控管 IAP 啟用作業,不會控管 IAP 設定的其他層面。如果機構政策生效,管理員可以更新任何應用程式的 IAP 設定 (包括 OAuth 用戶端資訊),即使這些應用程式在政策強制執行時不符合規定也一樣。這樣一來,您就能在努力讓所有服務符合資料落地規定時,維持強大的安全防護機制。