Contrôler l'activation des achats via l'application à l'aide de règles d'administration

Cette page décrit les règles d'administration que vous pouvez définir pour contrôler l'activation de la protection IAP pour les applications globales et régionales.

Présentation

IAP est un service mondial, qui ne dépend pas de l'emplacement. Par conséquent, si vous devez respecter des exigences strictes de conformité des résidences de données régionales, vous devrez peut-être vous assurer qu'IAP ne peut pas être activé pour les applications de votre organisation, dans des projets spécifiques ou dans des dossiers spécifiques. Vous pouvez contrôler l'activation d'IAP en définissant des contraintes de règle d'administration.

Règles d'administration IAP

Les règles d'administration suivantes limitent l'activation d'IAP pour les applications globales et régionales:

  • Champ d'application global : iap.requireGlobalIapWebDisabled
  • Champ d'application régional : iap.requireRegionalIapWebDisabled

Vous pouvez utiliser les règles d'administration pour empêcher les administrateurs d'activer IAP sur les services suivants:

  • Services de backend Compute EngineDocumentation de référence de l'API: backendServices/regionBackendServicesinsérer, mettre à jour et appliquer des correctifs
  • Applications App Engine, documentation de référence de l'API : Applications.updateApplication

Lorsque vous activez l'une ou les deux contraintes de stratégie, cela empêche respectivement l'activation à l'avenir d'IAP sur les applications globales ou régionales. Définir des contraintes de stratégie ne désactive pas automatiquement les protections IAP en place pour les applications Compute Engine ou App Engine existantes. Pour les applications existantes sur lesquelles IAP est déjà activé, assurez-vous de les rendre conformes aux stratégies nouvellement définies sans compromettre votre stratégie de sécurité.

Les règles d'administration déterminent spécifiquement et strictement l'activation d'IAP et non les autres aspects de la configuration IAP. Lorsqu'une stratégie d'organisation est en place, un administrateur peut mettre à jour tous les paramètres IAP, y compris les informations client OAuth, pour toute application non conforme au moment de l'application de la stratégie. Cela vous permet de maintenir une stratégie de sécurité élevée tout en veillant à ce que tous vos services soient conformes aux exigences de résidence des données.