使用组织政策控制 IAP 启用

本页介绍了您可以设置的组织政策,用于控制是否为全球应用和地区性应用启用 IAP 保护。

概览

IAP 是一项全球性服务,任何 IAP 配置都会在全球范围内复制。因此,如果您必须遵守严格的区域性数据驻留合规性要求,则可能需要确保无法为组织中的应用、特定项目或特定文件夹中的应用启用 IAP。您可以通过设置组织政策限制条件来控制 IAP 启用。

IAP 组织政策

以下组织政策会限制全球和区域性应用启用 IAP:

  • 全球:iap.requireGlobalIapWebDisabled
  • 区域级:iap.requireRegionalIapWebDisabled

您可以使用组织政策来阻止管理员在以下服务上启用 IAP:

  • Compute Engine 后端服务,API 参考文档:backendServices/regionBackendServices 插入、更新和修补操作
  • App Engine 应用、API 参考文档:Applications.updateApplication

启用其中一个或两个政策限制后,系统将分别禁止日后在全球性应用或地区性应用中启用 IAP。设置政策限制不会自动停用现有 Compute Engine 或 App Engine 应用的 IAP 保护措施。对于已启用 IAP 的现有应用,请确保在不影响安全状况的情况下,使其符合新设置的政策。

组织政策仅严格控制 IAP 启用,而不控制 IAP 配置的其他方面。组织政策生效后,管理员可以更新在政策强制执行时不合规的任何应用的所有 IAP 设置,包括 OAuth 客户端信息。这样,您就可以在确保强大的安全状况的同时,努力使所有服务都符合数据驻留要求。