Utilizzo dei criteri dell'organizzazione per controllare l'abilitazione degli IAP

In questa pagina vengono descritti i criteri dell'organizzazione che puoi impostare per controllare l'attivazione della protezione IAP per applicazioni globali e a livello di area geografica.

Panoramica

IAP è un servizio globale e qualsiasi configurazione IAP viene replicata a livello globale. Pertanto, se hai dei requisiti rigorosi in termini di conformità alla residenza dei dati a livello di area geografica che devi rispettare, potresti dover assicurarti che IAP non sia abilitato per le applicazioni nella tua organizzazione, in progetti specifici o in cartelle specifiche. Puoi controllare l'abilitazione IAP impostando i vincoli dei criteri dell'organizzazione.

Criteri dell'organizzazione IAP

I seguenti criteri dell'organizzazione limitano l'abilitazione degli IAP per le applicazioni globali e a livello di area geografica:

  • Globale: iap.requireGlobalIapWebDisabled
  • A livello di area geografica: iap.requireRegionalIapWebDisabled

Puoi utilizzare i criteri dell'organizzazione per impedire agli amministratori di abilitare IAP nei seguenti servizi:

  • Servizi di backend di Compute Engine, riferimento API: operazioni di inserimento, aggiornamento e patch di backendServices/regionBackendServices
  • Applicazioni App Engine, riferimento API: Applications.updateApplication

L'attivazione di uno o entrambi i vincoli dei criteri impedisce l'attivazione futura di IAP su applicazioni globali o a livello di area geografica. L'impostazione dei vincoli dei criteri non disattiva automaticamente le protezioni IAP esistenti per le applicazioni Compute Engine o App Engine esistenti. Per le applicazioni esistenti per cui IAP è già abilitato, assicurati di renderle conformi ai nuovi criteri impostati senza sacrificare la tua sicurezza.

I criteri dell'organizzazione controllano in modo specifico e rigoroso solo l'abilitazione IAP e non altri aspetti della configurazione IAP. Quando è in vigore un criterio dell'organizzazione, un amministratore può aggiornare qualsiasi impostazione IAP, incluse le informazioni del client OAuth, per qualsiasi applicazione non conforme al momento dell'applicazione dei criteri. Ciò consente di mantenere una solida strategia di sicurezza mentre si lavora per rendere tutti i servizi conformi ai requisiti di localizzazione dei dati.