Esta página descreve as políticas da organização que podem ser definidas para controlar a ativação da proteção do IAP para aplicativos globais e regionais.
Visão geral
O IAP é um serviço global, e qualquer configuração do IAP é replicada globalmente. Portanto, se você tiver requisitos rígidos de conformidade com a residência de dados regional, talvez seja necessário garantir que o IAP não possa ser ativado para aplicativos em toda a organização, em projetos específicos ou em pastas específicas. É possível controlar a ativação do IAP definindo restrições de política da organização.
Políticas da organização do IAP
As políticas da organização a seguir restringem a ativação do IAP para aplicativos globais e regionais:
- Global:
iap.requireGlobalIapWebDisabled - Regional:
iap.requireRegionalIapWebDisabled
Você pode usar as políticas da organização para impedir que os administradores ativem o IAP nos seguintes serviços:
- Serviços de back-end do Compute Engine, referência da API:
backendServices/regionBackendServicesoperações de inserção, atualização e patch - Referência de aplicativos do App Engine e da API:
Applications.updateApplication
Quando você ativa uma ou ambas as restrições de política, isso impede a ativação futura do IAP em aplicativos globais ou regionais, respectivamente. Definir as restrições de política não desativa automaticamente as proteções do IAP que estão em vigor para aplicativos do Compute Engine ou App Engine. Para aplicativos em que o IAP já está ativado, verifique se eles estão em conformidade com as políticas recém-definidas sem sacrificar sua postura de segurança.
As políticas da organização controlam especificamente e estritamente apenas a ativação do IAP, e não outros aspectos da configuração do IAP. Quando uma política da organização está em vigor, um administrador pode atualizar qualquer configuração do IAP, incluindo informações do cliente OAuth, para qualquer aplicativo que não esteja em conformidade no momento da aplicação da política. Isso permite manter uma postura de segurança forte enquanto você trabalha para que todos os seus serviços estejam em conformidade com os requisitos de residência de dados.