En esta página, se describen las políticas de la organización que puedes configurar para controlar la activación de la protección de IAP para aplicaciones globales y regionales.
Descripción general
IAP es un servicio global, y cualquier configuración de IAP se replica a nivel global. Por lo tanto, si tienes requisitos estrictos de cumplimiento de la residencia de datos regionales que debes cumplir, es posible que debas asegurarte de que la IAP no se pueda habilitar para las aplicaciones de tu organización, en proyectos o carpetas específicos. Para controlar la habilitación de los IAP, establece restricciones de la política de la organización.
Políticas de la organización de IAP
Las siguientes políticas de la organización restringen la habilitación de IAP para aplicaciones globales y regionales:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Puedes usar las políticas de la organización para evitar que los administradores habiliten la IAP en los siguientes servicios:
- Servicios de backend de Compute Engine, referencia de la API: Operaciones de inserción, actualización y parcheo de
backendServices/regionBackendServices - Aplicaciones de App Engine, referencia de la API:
Applications.updateApplication
Cuando habilitas una o ambas restricciones de la política, se evita que se habiliten IAP en aplicaciones globales o regionales en el futuro, respectivamente. Configurar las restricciones de la política no inhabilita automáticamente las protecciones de IAP existentes para las aplicaciones de Compute Engine o App Engine. En el caso de las aplicaciones existentes en las que ya está habilitado el IAP, asegúrate de que cumplan con las políticas establecidas recientemente sin sacrificar tu postura de seguridad.
Las políticas de la organización controlan de forma específica y estricta solo la habilitación de las IAP y no otros aspectos de su configuración. Cuando se implementa una política de la organización, un administrador puede actualizar cualquier configuración de IAP, incluida la información del cliente de OAuth, para cualquier aplicación que no cumpla con la política en el momento de la aplicación forzosa. Esto te permite mantener una postura de seguridad sólida mientras trabajas para que todos tus servicios cumplan con los requisitos de residencia de datos.