Usar las políticas de la organización para controlar la habilitación de IAP

En esta página, se describen las políticas de la organización que puedes configurar a fin de controlar la habilitación de la protección de IAP para aplicaciones globales y regionales.

Descripción general

IAP es un servicio global, que no depende de la ubicación. Por lo tanto, si tienes requisitos estrictos de cumplimiento de residencia de datos regionales que debes cumplir, es posible que debas asegurarte de que IAP no se pueda habilitar para aplicaciones en toda tu organización, en proyectos específicos o en carpetas específicas. Puedes controlar la habilitación de IAP si configuras restricciones de la política de la organización.

Políticas de la organización de IAP

Las siguientes políticas de la organización restringen la habilitación de IAP para aplicaciones globales y regionales:

  • Global: iap.requireGlobalIapWebDisabled
  • Regional: iap.requireRegionalIapWebDisabled

Puedes usar las políticas de la organización para evitar que los administradores habiliten IAP en los siguientes servicios:

  • Servicios de backend de Compute Engine, referencia de la API: operaciones de inserción, actualización y aplicación de parches backendServices/regionBackendServices
  • Aplicaciones de App Engine, referencia de la API: Applications.updateApplication

Cuando habilitas una o ambas restricciones de la política, se evita que se habiliten IAP en aplicaciones globales o regionales en el futuro. Cuando se establecen las restricciones de la política, no se inhabilitan automáticamente las protecciones de IAP establecidas para las aplicaciones existentes de Compute Engine o App Engine. En las aplicaciones existentes en las que IAP ya está habilitado, asegúrate de cumplirlas con las políticas recién configuradas sin sacrificar tu postura de seguridad.

Las políticas de la organización controlan de forma específica y específica solo la habilitación de IAP y no otros aspectos de la configuración de IAP. Cuando se implementa una política de la organización, un administrador puede actualizar cualquier configuración de IAP, incluida la información del cliente de OAuth, para cualquier aplicación que no cumpla con la política en el momento de la aplicación de la política. Esto te permite mantener una postura de seguridad sólida mientras trabajas para que todos tus servicios cumplan con los requisitos de residencia de datos.