Utilizzo dei criteri dell'organizzazione per controllare l'abilitazione IAP

In questa pagina vengono descritti i criteri dell'organizzazione che puoi impostare per controllare l'attivazione della protezione IAP per le applicazioni globali e a livello di regione.

Panoramica

IAP è un servizio globale e qualsiasi configurazione IAP viene replicata a livello globale. Pertanto, se devi rispettare requisiti di conformità relativi alla residenza dei dati a livello di regione rigorosi, dovresti assicurarti che IAP non possa essere abilitato per le applicazioni nella tua organizzazione, in progetti specifici o in cartelle specifiche. Puoi controllare l'abilitazione di IAP impostando i vincoli dei criteri dell'organizzazione.

Criteri dell'organizzazione IAP

I seguenti criteri dell'organizzazione limitano l'abilitazione di IAP per le applicazioni globali e a livello di regione:

  • Globale: iap.requireGlobalIapWebDisabled
  • A livello di regione: iap.requireRegionalIapWebDisabled

Puoi utilizzare i criteri dell'organizzazione per impedire agli amministratori di abilitare IAP per i seguenti servizi:

  • Servizi di backend di Compute Engine, riferimento API: operazioni di inserimento, aggiornamento e applicazione di patch backendServices/regionBackendServices
  • Applicazioni App Engine, riferimento API: Applications.updateApplication

L'attivazione di uno o entrambi i vincoli dei criteri impedisce la futura attivazione di IAP rispettivamente sulle applicazioni globali o a livello di regione. L'impostazione dei vincoli relativi ai criteri non disabilita automaticamente le protezioni IAP attive per le applicazioni Compute Engine o App Engine esistenti. Per le applicazioni esistenti su cui è già abilitato IAP, assicurati di renderle conformi ai criteri appena impostati senza sacrificare la tua strategia di sicurezza.

I criteri dell'organizzazione controllano in modo specifico e rigoroso solo l'abilitazione IAP e non altri aspetti della configurazione IAP. Quando viene applicato un criterio dell'organizzazione, un amministratore può aggiornare qualsiasi impostazione IAP, incluse le informazioni del client OAuth, per qualsiasi applicazione non conforme al momento dell'applicazione dei criteri. In questo modo puoi mantenere un solido livello di sicurezza mentre lavori per rendere tutti i tuoi servizi conformi ai requisiti di residenza dei dati.