En esta página, se describen las políticas de la organización que puedes configurar a fin de controlar la habilitación de la protección de IAP para aplicaciones globales y regionales.
Descripción general
IAP es un servicio global, y cualquier configuración de IAP se replica de forma global. Por lo tanto, si tienes requisitos de cumplimiento de residencia de datos regionales estrictos, es posible que debas asegurarte de que IAP no se pueda habilitar para aplicaciones en tu organización, en proyectos específicos o en carpetas específicas. Puedes controlar la habilitación de IAP si configuras las restricciones de la política de la organización.
Políticas de la organización de IAP
Las siguientes políticas de la organización restringen la habilitación de IAP para aplicaciones globales y regionales:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Puedes usar las políticas de la organización para evitar que los administradores habiliten IAP en los siguientes servicios:
- Servicios de backend de Compute Engine, referencia de la API: operaciones de inserción, actualización y aplicación de parches
backendServices/regionBackendServices - Aplicaciones de App Engine, referencia de la API:
Applications.updateApplication
Cuando habilitas una o ambas restricciones de la política, se evita que se habiliten IAP en aplicaciones globales o regionales en el futuro. Cuando se establecen las restricciones de la política, no se inhabilitan automáticamente las protecciones de IAP establecidas para las aplicaciones existentes de Compute Engine o App Engine. En las aplicaciones existentes en las que IAP ya está habilitado, asegúrate de cumplirlas con las políticas recién configuradas sin sacrificar tu postura de seguridad.
Las políticas de la organización controlan de forma específica y específica solo la habilitación de IAP y no otros aspectos de la configuración de IAP. Cuando se implementa una política de la organización, un administrador puede actualizar cualquier configuración de IAP, incluida la información del cliente de OAuth, para cualquier aplicación que no cumpla con la política en el momento de la aplicación de la política. Esto te permite mantener una postura de seguridad sólida mientras trabajas para que todos tus servicios cumplan con los requisitos de residencia de datos.