本页介绍了您可以设置的组织政策,用于控制是否为全球应用和地区性应用启用 IAP 保护。
概览
IAP 是一项全球性服务,任何 IAP 配置都会在全球范围内复制。因此,如果您必须遵守严格的区域性数据驻留合规性要求,则可能需要确保无法为组织中的应用、特定项目或特定文件夹中的应用启用 IAP。您可以通过设置组织政策限制条件来控制 IAP 启用。
IAP 组织政策
以下组织政策会限制全球和区域性应用启用 IAP:
- 全球:
iap.requireGlobalIapWebDisabled - 区域级:
iap.requireRegionalIapWebDisabled
您可以使用组织政策来阻止管理员在以下服务上启用 IAP:
- Compute Engine 后端服务,API 参考文档:
backendServices/regionBackendServices插入、更新和修补操作 - App Engine 应用、API 参考文档:
Applications.updateApplication
启用其中一个或两个政策限制后,系统将分别禁止日后在全球性应用或地区性应用中启用 IAP。设置政策限制不会自动停用现有 Compute Engine 或 App Engine 应用的 IAP 保护措施。对于已启用 IAP 的现有应用,请确保在不影响安全状况的情况下,使其符合新设置的政策。
组织政策仅严格控制 IAP 启用,而不控制 IAP 配置的其他方面。组织政策生效后,管理员可以更新在政策强制执行时不合规的任何应用的所有 IAP 设置,包括 OAuth 客户端信息。这样,您就可以在确保强大的安全状况的同时,努力使所有服务都符合数据驻留要求。