Halaman ini menjelaskan kebijakan organisasi yang dapat Anda tetapkan untuk mengontrol pengaktifan perlindungan IAP untuk aplikasi global dan regional.
Ringkasan
IAP adalah layanan global, dan konfigurasi IAP apa pun direplikasi secara global. Oleh karena itu, jika memiliki persyaratan kepatuhan residensi data regional yang ketat dan harus dipatuhi, Anda mungkin perlu memastikan bahwa IAP tidak dapat diaktifkan untuk aplikasi di seluruh organisasi Anda, dalam project tertentu, atau di folder tertentu. Anda dapat mengontrol pengaktifan IAP dengan menetapkan batasan kebijakan organisasi.
Kebijakan organisasi IAP
Kebijakan organisasi berikut membatasi pengaktifan IAP untuk aplikasi global dan regional:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Anda dapat menggunakan kebijakan organisasi untuk mencegah admin mengaktifkan IAP pada layanan berikut:
- Layanan backend Compute Engine, referensi API: operasi penyisipan, update, dan patch
backendServices/regionBackendServices - Aplikasi App Engine, referensi API:
Applications.updateApplication
Jika Anda mengaktifkan salah satu atau kedua batasan kebijakan, tindakan ini akan mencegah pengaktifan IAP di masa mendatang pada masing-masing aplikasi global atau regional. Menetapkan batasan kebijakan tidak akan otomatis menonaktifkan perlindungan IAP yang berlaku untuk aplikasi Compute Engine atau App Engine yang sudah ada. Untuk aplikasi yang sudah diaktifkan dengan IAP, pastikan Anda mematuhinya dengan kebijakan yang baru ditetapkan tanpa mengorbankan postur keamanan Anda.
Kebijakan organisasi secara khusus dan ketat hanya mengontrol pengaktifan IAP, bukan aspek lain dari konfigurasi IAP. Ketika kebijakan organisasi diterapkan, administrator dapat memperbarui setelan IAP apa pun, termasuk informasi Klien OAuth, untuk setiap aplikasi yang tidak mematuhi kebijakan pada saat penerapan kebijakan. Hal ini memungkinkan Anda untuk mempertahankan postur keamanan yang kuat sambil berupaya agar semua layanan Anda mematuhi persyaratan residensi data.