本页面介绍了一些组织政策,您可以通过设置这些政策来控制为全球和地区应用启用 IAP 保护的功能。
概览
IAP 是一项全球性服务,任何 IAP 配置都会在全球范围内复制。因此,如果您必须遵守严格的区域数据驻留合规性要求,则可能需要确保无法为整个组织、特定项目或特定文件夹中的应用启用 IAP。您可以通过设置组织政策限制条件来控制 IAP 的启用。
IAP 组织政策
以下组织政策限制了全球和区域应用的 IAP 启用:
- 全球:
iap.requireGlobalIapWebDisabled - 区域级:
iap.requireRegionalIapWebDisabled
您可以使用组织政策来阻止管理员对以下服务启用 IAP:
- Compute Engine 后端服务,API 参考文档:
backendServices/regionBackendServices插入、更新和修补操作 - App Engine 应用,API 参考文档:
Applications.updateApplication
启用其中一项或两项政策限制条件后,将会阻止未来在全球应用或区域应用中分别启用 IAP。设置政策限制条件不会自动停用为现有 Compute Engine 或 App Engine 应用配置的 IAP 保护。对于已启用 IAP 的现有应用,请确保使其符合新设置的政策,同时不影响安全状况。
组织政策专门且严格控制 IAP 启用,而不控制 IAP 配置的其他方面。实施组织政策后,管理员可以为在强制执行政策时违规的任何应用更新任何 IAP 设置,包括 OAuth 客户端信息。这样,您就可以在努力使您的所有服务符合数据驻留要求的同时,保持可靠的安全状况。