Auf dieser Seite werden die Organisationsrichtlinien beschrieben, die Sie festlegen können, um die Aktivierung des IAP-Schutzes für globale und regionale Anwendungen zu steuern.
Überblick
IAP ist ein globaler Dienst und jede IAP-Konfiguration wird global repliziert. Wenn Sie strikte Anforderungen an die Compliance des regionalen Datenstandorts haben, müssen Sie daher möglicherweise dafür sorgen, dass IAP nicht für Anwendungen in Ihrer gesamten Organisation, in bestimmten Projekten oder in bestimmten Ordnern aktiviert werden kann. Sie können die IAP-Aktivierung steuern, indem Sie Einschränkungen für Organisationsrichtlinien festlegen.
IAP-Organisationsrichtlinien
Die folgenden Organisationsrichtlinien schränken die IAP-Aktivierung für globale und regionale Anwendungen ein:
- Global:
iap.requireGlobalIapWebDisabled
- Regional:
iap.requireRegionalIapWebDisabled
Mit Organisationsrichtlinien können Sie verhindern, dass Administratoren IAP für die folgenden Dienste aktivieren:
- Compute Engine-Back-End-Dienste, API-Referenz:
backendServices/regionBackendServices
-Vorgänge zum Einfügen, Aktualisieren und Patchen - App Engine-Anwendungen, API-Referenz:
Applications.updateApplication
Wenn Sie eine oder beide Richtlinieneinschränkungen aktivieren, wird das zukünftige Aktivieren von IAP für globale bzw. regionale Anwendungen verhindert. Durch das Festlegen der Richtlinieneinschränkungen wird nicht automatisch der IAP-Schutz deaktiviert, der für vorhandene Compute Engine- oder App Engine-Anwendungen gilt. Achten Sie bei vorhandenen Anwendungen, für die IAP bereits aktiviert ist, darauf, dass sie den neu festgelegten Richtlinien entsprechen, ohne Ihren Sicherheitsstatus zu beeinträchtigen.
Organisationsrichtlinien kontrollieren konkret nur die IAP-Aktivierung und keine anderen Aspekte der IAP-Konfiguration. Wenn eine Organisationsrichtlinie eingerichtet ist, kann ein Administrator alle IAP-Einstellungen, einschließlich OAuth-Clientinformationen, für jede Anwendung aktualisieren, die zum Zeitpunkt der Richtlinienerzwingung nicht konform ist. Auf diese Weise können Sie einen hohen Sicherheitsstatus aufrechterhalten und gleichzeitig daran arbeiten, alle Dienste an die Anforderungen an den Datenstandort anzupassen.