Halaman ini menjelaskan kebijakan organisasi yang dapat Anda tetapkan untuk mengontrol pengaktifan perlindungan IAP untuk aplikasi global dan regional.
Ringkasan
IAP adalah layanan global, dan konfigurasi IAP apa pun direplikasi secara global. Oleh karena itu, jika Anda memiliki persyaratan kepatuhan residensi data regional yang ketat yang harus Anda patuhi, Anda mungkin perlu memastikan bahwa IAP tidak dapat diaktifkan untuk aplikasi di seluruh organisasi, dalam project tertentu, atau di folder tertentu. Anda dapat mengontrol pengaktifan IAP dengan menetapkan batasan kebijakan organisasi.
Kebijakan organisasi IAP
Kebijakan organisasi berikut membatasi pengaktifan IAP untuk aplikasi global dan regional:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Anda dapat menggunakan kebijakan organisasi untuk mencegah admin mengaktifkan IAP di layanan berikut:
- Layanan backend Compute Engine, referensi API:
backendServices/regionBackendServicesoperasi penyisipan, pembaruan, dan patch - Aplikasi App Engine, referensi API:
Applications.updateApplication
Jika Anda mengaktifkan satu atau kedua batasan kebijakan, tindakan ini akan mencegah pengaktifan IAP di masa mendatang pada aplikasi global atau regional. Menetapkan batasan kebijakan tidak otomatis menonaktifkan perlindungan IAP yang diterapkan untuk aplikasi Compute Engine atau App Engine yang ada. Untuk aplikasi yang sudah ada dan IAP-nya sudah diaktifkan, pastikan Anda mematuhi kebijakan yang baru ditetapkan tanpa mengorbankan postur keamanan Anda.
Kebijakan organisasi secara khusus dan ketat hanya mengontrol pengaktifan IAP, bukan aspek lain dari konfigurasi IAP. Jika kebijakan organisasi diterapkan, administrator dapat memperbarui setelan IAP, termasuk informasi Klien OAuth, untuk aplikasi apa pun yang tidak mematuhi kebijakan pada saat penerapan kebijakan. Hal ini memungkinkan Anda mempertahankan postur keamanan yang kuat sambil berupaya membuat semua layanan Anda mematuhi persyaratan residensi data.