Cette page décrit les règles d'organisation que vous pouvez définir pour contrôler l'activation de la protection IAP pour les applications globales et régionales.
Présentation
L'IAP est un service mondial, et toute configuration IAP est répliquée à l'échelle mondiale. Par conséquent, si vous devez respecter des exigences strictes de conformité en matière de résidence des données régionales, vous devrez peut-être vous assurer que l'API Access Protection ne peut pas être activée pour les applications de votre organisation, dans des projets spécifiques ou dans des dossiers spécifiques. Vous pouvez contrôler l'activation de l'API Access Intent en définissant des contraintes de règle d'administration.
Règles d'administration de l'organisation pour les applications propriétaires
Les règles d'administration suivantes limitent l'activation de l'API Access Intent pour les applications globales et régionales:
- Champ d'application global :
iap.requireGlobalIapWebDisabled - Champ d'application régional :
iap.requireRegionalIapWebDisabled
Vous pouvez utiliser les règles d'administration de l'organisation pour empêcher les administrateurs d'activer l'API Play sur les services suivants:
- Services de backend Compute Engine, documentation de référence de l'API: opérations d'insertion, de mise à jour et de correctif
backendServices/regionBackendServices - Applications App Engine, documentation de référence de l'API:
Applications.updateApplication
Lorsque vous activez l'une ou les deux contraintes de règles, l'activation future des produits intégrés est empêchée respectivement pour les applications globales et régionales. Définir les contraintes de règles ne désactive pas automatiquement les protections IAP en place pour les applications Compute Engine ou App Engine existantes. Pour les applications existantes sur lesquelles l'IAP est déjà activé, assurez-vous de les mettre en conformité avec les nouvelles règles sans compromettre votre posture de sécurité.
Les règles de l'organisation ne contrôlent spécifiquement et strictement que l'activation des AWI, et non d'autres aspects de leur configuration. Lorsqu'une règle d'organisation est en place, un administrateur peut mettre à jour tous les paramètres de l'IAP, y compris les informations sur le client OAuth, pour toute application non conforme au moment de l'application de la règle. Vous pouvez ainsi maintenir une stratégie de sécurité solide tout en vous efforçant de mettre tous vos services en conformité avec les exigences de résidence des données.