Auf dieser Seite werden die Organisationsrichtlinien beschrieben, mit denen Sie die Aktivierung des IAP-Schutzes für globale und regionale Anwendungen steuern können.
Übersicht
IAP ist ein globaler Dienst und jede IAP-Konfiguration wird global repliziert. Wenn Sie also strenge regionale Compliance-Anforderungen an den Datenstandort einhalten müssen, müssen Sie möglicherweise dafür sorgen, dass IAP nicht für Anwendungen in Ihrer gesamten Organisation, in bestimmten Projekten oder in bestimmten Ordnern aktiviert werden kann. Sie können die Aktivierung von IAPs über Einschränkungen in Organisationsrichtlinien steuern.
IAP-Organisationsrichtlinien
Die folgenden Organisationsrichtlinien schränken die Aktivierung von In-App-Abos für globale und regionale Apps ein:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Mit den Organisationsrichtlinien können Sie verhindern, dass Administratoren IAP für die folgenden Dienste aktivieren:
- Compute Engine-Back-End-Dienste, API-Referenz:
backendServices/regionBackendServicesEinfüge-, Aktualisierungs- und Patch-Vorgänge - App Engine-Anwendungen, API-Referenz:
Applications.updateApplication
Wenn Sie eine oder beide Richtlinieneinschränkungen aktivieren, kann IAP für globale oder regionale Apps nicht mehr aktiviert werden. Durch das Festlegen der Richtlinieneinschränkungen werden die für vorhandene Compute Engine- oder App Engine-Anwendungen vorhandenen IAP-Schutzmaßnahmen nicht automatisch deaktiviert. Achten Sie bei bestehenden Anwendungen, für die IAP bereits aktiviert ist, darauf, dass sie den neu festgelegten Richtlinien entsprechen, ohne die Sicherheit zu gefährden.
Mithilfe von Organisationsrichtlinien wird nur die Aktivierung von IAPs und nicht andere Aspekte der IAP-Konfiguration gesteuert. Wenn eine Organisationsrichtlinie vorhanden ist, kann ein Administrator alle IAP-Einstellungen, einschließlich OAuth-Client-Informationen, für alle Anwendungen aktualisieren, die zum Zeitpunkt der Richtliniendurchsetzung nicht konform sind. So können Sie eine hohe Sicherheitsstufe beibehalten und gleichzeitig alle Ihre Dienste an die Anforderungen an den Datenstandort anpassen.