이 페이지에서는 전역 및 리전 애플리케이션의 IAP 보호 사용 설정을 제어하기 위해 설정할 수 있는 조직 정책에 대하여 설명합니다.
개요
IAP는 전역 서비스이며 모든 IAP 구성은 전역적으로 복제됩니다. 따라서 준수해야 할 엄격한 리전 데이터 상주 규정 준수 요구사항이 있는 경우 조직 전체, 특정 프로젝트, 특정 폴더에 대해 IAP를 사용 설정할 수 없도록 해야 할 수 있습니다. 조직 정책 제약조건을 설정하여 IAP 사용 설정을 제어할 수 있습니다.
IAP 조직 정책
다음 조직 정책은 전역 및 리전 애플리케이션의 IAP 사용 설정을 제한합니다.
- 전역:
iap.requireGlobalIapWebDisabled - 리전:
iap.requireRegionalIapWebDisabled
조직 정책을 사용하여 관리자가 다음 서비스에서 IAP를 사용 설정하지 못하도록 방지할 수 있습니다.
- Compute Engine 백엔드 서비스, API 참조:
backendServices/regionBackendServices삽입, 업데이트, 패치 작업 - App Engine 애플리케이션, API 참조:
Applications.updateApplication
정책 제약조건 중 하나 또는 둘 모두를 사용 설정하면 향후 전역 또는 리전 애플리케이션에서 IAP를 각각 사용 설정할 수 없습니다. 정책 제약조건을 설정해도 기존 Compute Engine 또는 App Engine 애플리케이션에 적용되는 IAP 보호는 자동으로 사용 중지되지 않습니다. IAP가 이미 사용 설정된 기존 애플리케이션의 경우 보안 상태 저하 없이 새로 설정된 정책을 준수하도록 해야 합니다.
조직 정책은 IAP 사용 설정에 대해서만 구체적이고 엄격하게 제어하며, IAP 구성의 다른 측면은 제어하지 않습니다. 조직 정책이 적용되면 관리자는 정책 적용 시 규정을 준수하지 않는 모든 애플리케이션의 OAuth 클라이언트 정보를 포함한 모든 IAP 설정을 업데이트할 수 있습니다. 이를 통해 모든 서비스가 데이터 상주 요구사항을 준수하도록 하면서 강력한 보안 상태를 유지할 수 있습니다.