使用组织政策控制 IAP 启用

本页介绍了您可以设置的组织政策，用于控制是否为全球应用和地区性应用启用 IAP 保护。

概览

IAP 是一项全球性服务，任何 IAP 配置都会在全球范围内复制。因此，如果您必须遵守严格的区域性数据驻留合规性要求，则可能需要确保无法为组织中的应用、特定项目或特定文件夹中的应用启用 IAP。您可以通过设置组织政策限制条件来控制 IAP 启用。

IAP 组织政策

以下组织政策会限制全球和区域性应用启用 IAP：

• 全球：iap.requireGlobalIapWebDisabled
• 区域级：iap.requireRegionalIapWebDisabled

您可以使用组织政策来阻止管理员在以下服务上启用 IAP：

• Compute Engine 后端服务，API 参考文档：backendServices/regionBackendServices 插入、更新和修补操作
• App Engine 应用、API 参考文档：Applications.updateApplication

启用其中一个或两个政策限制后，系统将分别禁止日后在全球性应用或地区性应用中启用 IAP。设置政策限制不会自动停用现有 Compute Engine 或 App Engine 应用的 IAP 保护措施。对于已启用 IAP 的现有应用，请确保在不影响安全状况的情况下，使其符合新设置的政策。

组织政策仅严格控制 IAP 启用，而不控制 IAP 配置的其他方面。组织政策生效后，管理员可以更新在政策强制执行时不合规的任何应用的所有 IAP 设置，包括 OAuth 客户端信息。这样，您就可以在确保强大的安全状况的同时，努力使所有服务都符合数据驻留要求。