En esta página, se describen las políticas de la organización que puedes configurar a fin de controlar la habilitación de la protección IAP para aplicaciones globales y regionales.
Descripción general
IAP es un servicio global, y cualquier configuración de IAP se replica en todo el mundo. Por lo tanto, si tienes requisitos estrictos de cumplimiento de residencia de datos regional que debes cumplir, es posible que debas asegurarte de que IAP no se pueda habilitar para aplicaciones en tu organización, en proyectos específicos o en carpetas específicas. Puedes controlar la habilitación de IAP mediante la configuración de restricciones de la política de la organización.
Políticas de la organización de IAP
Las siguientes políticas de la organización restringen la habilitación de IAP para aplicaciones globales y regionales:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Puedes usar las políticas de la organización para evitar que los administradores habiliten IAP en los siguientes servicios:
- Servicios de backend de Compute Engine, referencia de la API: operaciones de inserción, actualización y aplicación
backendServices/regionBackendServices - Aplicaciones de App Engine, referencia de la API:
Applications.updateApplication
Cuando habilitas una o ambas restricciones de la política, se evita la habilitación futura de IAP en aplicaciones globales o regionales, respectivamente. Establecer las restricciones de la política no inhabilita automáticamente las protecciones de IAP que se aplican a las aplicaciones existentes de Compute Engine o App Engine. En el caso de las aplicaciones existentes en las que IAP ya está habilitado, asegúrate de cumplir con las políticas recién configuradas sin sacrificar tu postura de seguridad.
De manera específica y estricta, las políticas de la organización controlan solo la habilitación de IAP y no otros aspectos de su configuración. Cuando se aplica una política de la organización, un administrador puede actualizar cualquier configuración de IAP, incluida la información del cliente de OAuth, para cualquier aplicación que esté fuera de cumplimiento en el momento de la aplicación de la política. Esto te permite mantener una postura de seguridad sólida mientras trabajas para que todos tus servicios cumplan con los requisitos de residencia de datos.