IAP-Aktivierung mithilfe von Organisationsrichtlinien steuern

Auf dieser Seite werden die Organisationsrichtlinien beschrieben, die Sie für die Aktivierung des IAP-Schutzes für globale und regionale Anwendungen festlegen können.

Übersicht

IAP ist ein globaler Dienst, der nicht vom Standort abhängig ist. Wenn Sie strenge Compliance-Anforderungen an regionale Daten erfüllen müssen, müssen Sie dafür sorgen, dass IAP nicht für Anwendungen in der gesamten Organisation, für bestimmte Projekte oder in bestimmten Ordnern aktiviert werden kann. Sie können die Aktivierung von IAP steuern, indem Sie Einschränkungen der Organisationsrichtlinie festlegen.

Organisationsrichtlinien für IAP

Die folgenden Organisationsrichtlinien schränken die Aktivierung von IAP für globale und regionale Anwendungen ein:

  • Global: iap.requireGlobalIapWebDisabled
  • Regional: iap.requireRegionalIapWebDisabled

Mit den Organisationsrichtlinien können Sie verhindern, dass Administratoren IAP für die folgenden Dienste aktivieren:

  • Compute Engine-Back-End-Dienste, API-Referenz: backendServices/regionBackendServices Einfügen, Aktualisieren und Patch-Vorgänge
  • App Engine-Anwendungen, API-Referenz: Applications.updateApplication

Wenn Sie eine oder beide Richtlinieneinschränkungen aktivieren, wird dadurch die zukünftige Aktivierung von IAP für globale oder regionale Anwendungen verhindert. Durch das Festlegen der Richtlinieneinschränkungen werden die IAP-Schutzmaßnahmen, die für vorhandene Compute Engine- oder App Engine-Anwendungen bestehen, nicht automatisch deaktiviert. Bei vorhandenen Anwendungen, für die IAP bereits aktiviert ist, müssen Sie darauf achten, dass Sie die neuen Richtlinien einhalten, ohne Ihren Sicherheitsstatus zu beeinträchtigen.

Organisationsrichtlinien steuern nur die IAP-Aktivierung und keine anderen Aspekte der IAP-Konfiguration. Wenn eine Organisationsrichtlinie festgelegt ist, kann ein Administrator alle IAP-Einstellungen, einschließlich OAuth-Clientinformationen, für jede Anwendung aktualisieren, die zum Zeitpunkt der Richtlinienerzwingung nicht den Richtlinien entspricht. Auf diese Weise können Sie eine starke Sicherheitslage gewährleisten und gleichzeitig alle Dienste in Einklang mit den Anforderungen an den Datenstandort führen.