Como usar políticas da organização para controlar a ativação do IAP

Nesta página, descrevemos as políticas da organização que podem ser definidas para controlar a ativação da proteção do IAP para aplicativos globais e regionais.

Informações gerais

O IAP é um serviço global, em que qualquer configuração de IAP é replicada globalmente. Portanto, se você precisa atender a requisitos rigorosos de conformidade de residência de dados regionais, talvez seja necessário garantir que o IAP não possa ser ativado para aplicativos em toda a organização, em projetos específicos ou em pastas específicas. É possível controlar a ativação do IAP definindo restrições da política da organização.

Políticas da organização do IAP

As seguintes políticas da organização restringem a ativação do IAP para aplicativos globais e regionais:

  • Global: iap.requireGlobalIapWebDisabled
  • Regional: iap.requireRegionalIapWebDisabled

É possível usar as políticas da organização para impedir que os administradores ativem o IAP nos seguintes serviços:

  • Serviços de back-end do Compute Engine, referência da API: operações de inserção, atualização e patch backendServices/regionBackendServices
  • Aplicativos do App Engine, referência da API: Applications.updateApplication

Quando você ativa uma ou ambas as restrições de política, isso impede a ativação futura do IAP em aplicativos globais ou regionais, respectivamente. A definição das restrições da política não desativa automaticamente as proteções do IAP que estão em vigor para os aplicativos atuais do Compute Engine ou do App Engine. No caso dos aplicativos atuais em que o IAP já está ativado, verifique se eles estão em conformidade com as políticas recém-definidas sem sacrificar sua postura de segurança.

As políticas da organização controlam de maneira específica e rigorosa apenas a ativação do IAP, e não outros aspectos da configuração dele. Quando há uma política da organização, um administrador pode atualizar todas as configurações do IAP, incluindo informações do cliente OAuth, de qualquer aplicativo que não esteja em conformidade no momento da aplicação da política. Isso permite que você mantenha uma postura forte de segurança enquanto trabalha para deixar todos os seus serviços em conformidade com os requisitos de residência de dados.