組織のポリシーを使用して IAP の有効化を制御する

このページでは、グローバル アプリケーションとリージョン アプリケーションで IAP 保護の有効化を制御するために設定できる組織のポリシーについて説明します。

概要

IAP はグローバル サービスであり、IAP の構成はグローバルに複製されます。したがって、リージョンのデータ所在地に関する厳格なコンプライアンス要件を遵守する必要がある場合は、組織全体、特定のプロジェクト、または特定のフォルダでアプリケーションに対して IAP を有効にできないようにすることが必要な場合があります。組織ポリシーの制約を設定することで、IAP の有効化を制御できます。

IAP 組織のポリシー

グローバル アプリケーションとリージョン アプリケーションでは、次の組織のポリシーによって IAP の有効化が制限されます。

  • グローバル: iap.requireGlobalIapWebDisabled
  • リージョン: iap.requireRegionalIapWebDisabled

組織のポリシーを使用すると、管理者が次のサービスで IAP を有効化しないようにできます。

  • Compute Engine バックエンド サービス、API リファレンス: backendServices/regionBackendServices の挿入、更新、パッチ オペレーション
  • App Engine アプリケーション、API リファレンス: Applications.updateApplication

ポリシー制約の一方または両方を有効にすると、今後グローバル アプリケーションまたはリージョン アプリケーションで IAP が有効になりません。ポリシーの制約を設定しても、既存の Compute Engine アプリケーションまたは App Engine アプリケーションに適用されている IAP 保護が自動的に無効になることはありません。IAP がすでに有効になっている既存のアプリケーションの場合は、セキュリティ体制を犠牲にすることなく、新しく設定されたポリシーを遵守するようにしてください。

組織のポリシーは、IAP の有効化のみを特に厳密に制御します。IAP 構成の他の要素は制御しません。組織のポリシーが適用されると、管理者はポリシーの適用時に規制に従っていないアプリケーションに対して、OAuth クライアント情報などの IAP の設定を更新できます。これにより、すべてのサービスのデータ レジデンシー要件を遵守するように取り組みながら、強固なセキュリティ方針を維持できます。