Usar políticas da organização para controlar a ativação de IAPs

Esta página descreve as políticas de organização que pode definir para controlar a ativação da proteção de IAP para aplicações globais e regionais.

Vista geral

O IAP é um serviço global e qualquer configuração do IAP é replicada a nível global. Por conseguinte, se tiver requisitos de conformidade de residência de dados regionais rigorosos que tem de cumprir, pode ter de garantir que o IAP não pode ser ativado para aplicações na sua organização, em projetos específicos ou em pastas específicas. Pode controlar a ativação das CAs definindo restrições de políticas da organização.

Políticas da organização da IAP

As seguintes políticas da organização restringem a ativação de CAs para aplicações globais e regionais:

  • Global: iap.requireGlobalIapWebDisabled
  • Regional: iap.requireRegionalIapWebDisabled

Pode usar as políticas da organização para impedir que os administradores ativem as CAs nos seguintes serviços:

  • Serviços de back-end do Compute Engine, referência da API: backendServices/regionBackendServices operações de inserção, atualização e aplicação de patches
  • Aplicações do App Engine, referência da API: Applications.updateApplication

Quando ativa uma ou ambas as restrições de políticas, impede a ativação futura das CAs em aplicações globais ou regionais, respetivamente. A definição das restrições de políticas não desativa automaticamente as proteções de IAP que estão em vigor para as aplicações existentes do Compute Engine ou do App Engine. Para as aplicações existentes nas quais as CAs já estão ativadas, certifique-se de que as coloca em conformidade com as políticas definidas recentemente sem sacrificar a sua postura de segurança.

As políticas da organização controlam especificamente e de forma rigorosa apenas a ativação das CAs, e não outros aspetos da configuração das CAs. Quando existe uma política organizacional, um administrador pode atualizar quaisquer definições de IAP, incluindo informações do cliente OAuth, para qualquer aplicação que não esteja em conformidade no momento da aplicação da política. Isto permite-lhe manter uma forte postura de segurança enquanto trabalha para colocar todos os seus serviços em conformidade com os requisitos de residência de dados.