Cette page décrit les règles d'administration que vous pouvez définir pour contrôler l'activation de la protection IAP pour les applications globales et régionales.
Présentation
IAP est un service global. Toute configuration IAP est répliquée à l'échelle mondiale. Par conséquent, si vous devez respecter des exigences strictes en matière de résidence des données régionales, vous devrez peut-être vous assurer qu'IAP ne peut pas être activé pour les applications de votre organisation, dans des projets ou dans des dossiers spécifiques. Vous pouvez contrôler l'activation d'IAP en définissant des contraintes de règles d'administration.
Règles d'administration IAP
Les règles d'administration suivantes limitent l'activation d'IAP pour les applications globales et régionales:
- Champ d'application global :
iap.requireGlobalIapWebDisabled
- Champ d'application régional :
iap.requireRegionalIapWebDisabled
Vous pouvez utiliser les règles d'administration pour empêcher les administrateurs d'activer IAP sur les services suivants:
- Services de backend Compute Engine, documentation de référence de l'API: opérations d'insertion, de mise à jour et de correctif
backendServices/regionBackendServices
- Applications App Engine, documentation de référence de l'API:
Applications.updateApplication
Lorsque vous activez l'une des contraintes de règle ou les deux, cela empêche l'activation future d'IAP sur les applications globales ou régionales, respectivement. La définition de ces contraintes ne désactive pas automatiquement les protections IAP appliquées aux applications Compute Engine ou App Engine existantes. Pour les applications existantes sur lesquelles IAP est déjà activé, veillez à les mettre en conformité avec les nouvelles stratégies sans compromettre votre stratégie de sécurité.
Les règles d'administration contrôlent spécifiquement et strictement l'activation d'IAP, et non les autres aspects de la configuration IAP. Lorsqu'une règle d'administration est en place, un administrateur peut mettre à jour tous les paramètres IAP, y compris les informations sur le client OAuth, pour toute application qui n'était pas conforme au moment de l'application de la stratégie. Cela vous permet de maintenir un niveau de sécurité élevé tout en œuvrant pour que tous vos services soient conformes aux exigences de résidence des données.