Cette page décrit les règles d'administration que vous pouvez définir pour contrôler l'activation de la protection IAP pour les applications globales et régionales.
Présentation
IAP est un service mondial, et toute configuration IAP est dupliquée à l'échelle mondiale. Par conséquent, si vous devez respecter des exigences strictes de conformité des résidences de données régionales, vous devrez peut-être vous assurer qu'IAP ne peut pas être activé pour les applications de votre organisation, dans des projets spécifiques ou dans des dossiers spécifiques. Vous pouvez contrôler l'activation d'IAP en définissant des contraintes de règle d'administration.
Règles d'administration IAP
Les règles d'administration suivantes limitent l'activation d'IAP pour les applications globales et régionales:
- Champ d'application global :
iap.requireGlobalIapWebDisabled - Champ d'application régional :
iap.requireRegionalIapWebDisabled
Vous pouvez utiliser les règles d'administration pour empêcher les administrateurs d'activer IAP sur les services suivants:
- Services de backend Compute EngineDocumentation de référence de l'API:
backendServices/regionBackendServicesinsérer, mettre à jour et appliquer des correctifs - Applications App Engine, documentation de référence de l'API:
Applications.updateApplication
Lorsque vous activez l'une ou les deux contraintes de stratégie, cela empêche respectivement l'activation à l'avenir d'IAP sur les applications globales ou régionales. Définir des contraintes de stratégie ne désactive pas automatiquement les protections IAP en place pour les applications Compute Engine ou App Engine existantes. Pour les applications existantes sur lesquelles IAP est déjà activé, assurez-vous de les rendre conformes aux stratégies nouvellement définies sans compromettre votre stratégie de sécurité.
Les règles d'administration déterminent spécifiquement et strictement l'activation d'IAP et non les autres aspects de la configuration IAP. Lorsqu'une stratégie d'organisation est en place, un administrateur peut mettre à jour tous les paramètres IAP, y compris les informations client OAuth, pour toute application non conforme au moment de l'application de la stratégie. Cela vous permet de maintenir une stratégie de sécurité élevée tout en veillant à ce que tous vos services soient conformes aux exigences de résidence des données.