このページでは、グローバル アプリケーションとリージョン アプリケーションで IAP 保護の有効化を制御するために設定できる組織のポリシーについて説明します。
概要
IAP はグローバル サービスであり、IAP 構成がグローバルに複製されます。そのため、リージョン データ所在地の厳格なコンプライアンス要件を遵守する必要がある場合は、組織全体、特定のプロジェクト、または特定のフォルダでアプリケーションに対して IAP を有効にできないようにする必要があります。組織のポリシーの制約を設定することで、IAP の有効化を制御できます。
IAP 組織のポリシー
次の組織のポリシーにより、グローバル アプリケーションとリージョン アプリケーションで IAP の有効化が制限されます。
- グローバル:
iap.requireGlobalIapWebDisabled - リージョン:
iap.requireRegionalIapWebDisabled
組織のポリシーを使用すると、管理者が次のサービスで IAP を有効化しないようにできます。
- Compute Engine バックエンド サービス、API リファレンス:
backendServices/regionBackendServicesの挿入、更新、パッチ オペレーション - App Engine アプリケーション、API リファレンス:
Applications.updateApplication
ポリシー制約の一方または両方を有効にすると、今後グローバル アプリケーションまたはリージョン アプリケーションで IAP が有効になりません。ポリシーの制約を設定しても、既存の Compute Engine アプリケーションまたは App Engine アプリケーションに適用されている IAP 保護が自動的に無効になることはありません。IAP がすでに有効になっている既存のアプリケーションの場合は、セキュリティ体制を犠牲にすることなく、新しく設定されたポリシーを遵守するようにしてください。
組織のポリシーは、IAP の有効化のみを特に厳密に制御します。IAP 構成の他の要素は制御しません。組織のポリシーが適用されると、管理者はポリシーの適用時に規制に従っていないアプリケーションに対して、OAuth クライアント情報などの IAP の設定を更新できます。これにより、すべてのサービスのデータ レジデンシー要件を遵守するように取り組みながら、強固なセキュリティ方針を維持できます。