Workspaces - Get Outbound Cloud Connection Rules
Gibt die Cloudverbindungsregeln für den Arbeitsbereich zurück, der mit dem Ausgehenden Zugriffsschutz (Outbound Access Protection, OAP) aktiviert ist. Diese API soll Arbeitsbereichsadministratoren dabei helfen, die effektiven Ausgehenden Netzwerkkommunikationsrichtlinien anzuzeigen, die für Cloudverbindungen erzwungen werden. Regeln für den Schutz vor ausgehenden Zugriffsschutz für cloudbasierte Verbindungen werden nur zurückgegeben und angewendet, wenn die Netzwerkkommunikationsrichtlinie des Arbeitsbereichs auf "Verweigern" festgelegt ist outbound.publicAccessRules.defaultAction . Wenn OAP im Arbeitsbereich nicht aktiviert ist, schlägt die API fehl, da ausgehende Verbindungen nicht eingeschränkt werden. Diese Funktion steht derzeit als Vorschau zur Verfügung.
Hinweis
Diese API ist Teil einer Preview-Version und wird nur für Evaluierungs- und Entwicklungszwecke bereitgestellt. Sie kann sich basierend auf Feedback ändern und wird nicht für den Produktionseinsatz empfohlen.
Erlaubnisse
Der Anrufer muss Viewer-rolle oder höherer Arbeitsbereichsrolle haben.
Erforderliche delegierte Bereiche
Workspace.Read.All oder Workspace.ReadWrite.All
Von Microsoft Entra unterstützte Identitäten
Diese API unterstützt die in diesem Abschnitt aufgeführten Microsoft Identitäten.
| Identität | Support |
|---|---|
| Benutzer | Yes |
| Service Principal und Verwaltete Identitäten | Yes |
Schnittstelle
GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/networking/communicationPolicy/outbound/connectionsURI-Parameter
| Name | In | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
workspace
|
path | True |
string (uuid) |
Eindeutiger Bezeichner des Arbeitsbereichs, dessen ausgehende Regeln abgefragt werden. |
Antworten
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK |
Die Anforderung wurde erfolgreich abgeschlossen. Header ETag: string |
|
| Other Status Codes |
Häufige Fehlercodes:
|
Beispiele
Get workspace outbound access protection cloud connection rule for example
Beispielanforderung
GET https://api.fabric.microsoft.com/v1/workspaces/47482db6-4583-4672-86dd-999d0f8f4d7a/networking/communicationPolicy/outbound/connections
Beispiel für eine Antwort
ETag: 0f8fad5b-d9cb-469f-a165-70867728950e{
"defaultAction": "Deny",
"rules": [
{
"connectionType": "SQL",
"defaultAction": "Deny",
"allowedEndpoints": [
{
"hostNamePattern": "*.microsoft.com"
}
]
},
{
"connectionType": "LakeHouse",
"defaultAction": "Deny",
"allowedWorkspaces": [
{
"workspaceId": "91c5ae74-e82d-4dd3-bfeb-6b1814030123"
}
]
},
{
"connectionType": "Web",
"defaultAction": "Allow"
}
]
}Definitionen
| Name | Beschreibung |
|---|---|
|
Connection |
Definiert das Zugriffssteuerungsverhalten für ausgehende Verbindungen. Diese Enumeration wird für das Feld defaultAction verwendet, um anzugeben, ob ausgehende Kommunikation standardmäßig zulässig oder verweigert werden soll. Dieser Typ ermöglicht sowohl globale als auch verbindungsspezifische Kontrolle über ausgehenden Zugriff, wodurch sichere und vorhersehbare Netzwerkkommunikationsrichtlinien erzwungen werden. Zusätzliche Verbindungszugriffsaktionstypen können im Laufe der Zeit hinzugefügt werden. |
|
Connection |
Stellt eine Ausnahmeregel auf einzelner Endpunktebene dar, die ausgehende Kommunikation mit einer bestimmten externen Domäne oder einem bestimmten Host ermöglicht. Dieses Objekt wird innerhalb des arrays allowedEndpoints einer Verbindungsregel verwendet, um explizit ausgehenden Zugriff auf vertrauenswürdige Endpunkte für einen bestimmten connectionType zu autorisieren. Dies gilt nur für Verbindungstypen, die endpunktbasierte Filterung unterstützen (z. B. SQL, MySQL, Web usw.). |
|
Connection |
Stellt eine Ausnahmeregel auf Arbeitsbereichsebene dar, die ausgehende Kommunikation mit einem bestimmten Arbeitsbereich für einen bestimmten ConnectionType ermöglicht. Dieses Objekt wird innerhalb des arrays allowedWorkspaces einer Verbindungsregel verwendet, um den arbeitsbereichübergreifenden Zugriff explizit zu autorisieren. Dies gilt nur für Verbindungstypen, die arbeitsbereichbasierte Filterung unterstützen, z. B. Lakehouse, Warehouse, FabricSql und PowerPlatformDataflows. |
|
Error |
Das Fehlerbezogene Ressourcendetails-Objekt. |
|
Error |
Die Fehlerantwort. |
|
Error |
Die Fehlerantwortdetails. |
|
Outbound |
Definiert eine Ausgehende Zugriffsregel für eine bestimmte Cloudverbindung. |
|
Workspace |
Stellt den vollständigen Satz von Cloudverbindungsregeln für ausgehenden Zugriff dar, die für einen Arbeitsbereich als Teil der Netzwerkkommunikationsrichtlinie konfiguriert sind. Dieses Objekt definiert die Verbindungsregeln, die steuern, welche externen Endpunkte und Arbeitsbereiche für ausgehende Kommunikation zulässig oder verweigert werden. |
ConnectionAccessActionType
Definiert das Zugriffssteuerungsverhalten für ausgehende Verbindungen. Diese Enumeration wird für das Feld defaultAction verwendet, um anzugeben, ob ausgehende Kommunikation standardmäßig zulässig oder verweigert werden soll. Dieser Typ ermöglicht sowohl globale als auch verbindungsspezifische Kontrolle über ausgehenden Zugriff, wodurch sichere und vorhersehbare Netzwerkkommunikationsrichtlinien erzwungen werden. Zusätzliche Verbindungszugriffsaktionstypen können im Laufe der Zeit hinzugefügt werden.
| Wert | Beschreibung |
|---|---|
| Allow |
Ermöglicht ausgehende Verbindungen. Bei Verwendung als Standardaktion sind alle Cloudverbindungen zulässig. |
| Deny |
Blockiert ausgehende Verbindungen. Wenn sie als Standardaktion verwendet wird, werden alle Cloudverbindungen verweigert, es sei denn, sie sind explizit zulässig. |
ConnectionRuleEndpointMetadata
Stellt eine Ausnahmeregel auf einzelner Endpunktebene dar, die ausgehende Kommunikation mit einer bestimmten externen Domäne oder einem bestimmten Host ermöglicht. Dieses Objekt wird innerhalb des arrays allowedEndpoints einer Verbindungsregel verwendet, um explizit ausgehenden Zugriff auf vertrauenswürdige Endpunkte für einen bestimmten connectionType zu autorisieren. Dies gilt nur für Verbindungstypen, die endpunktbasierte Filterung unterstützen (z. B. SQL, MySQL, Web usw.).
| Name | Typ | Beschreibung |
|---|---|---|
| hostNamePattern |
string |
Ein von Einem Wildcard unterstütztes Muster, das den zulässigen externen Endpunkt definiert. Beispiele sind *.microsoft.com, api.contoso.com oder data.partner.org. |
ConnectionRuleWorkspaceMetadata
Stellt eine Ausnahmeregel auf Arbeitsbereichsebene dar, die ausgehende Kommunikation mit einem bestimmten Arbeitsbereich für einen bestimmten ConnectionType ermöglicht. Dieses Objekt wird innerhalb des arrays allowedWorkspaces einer Verbindungsregel verwendet, um den arbeitsbereichübergreifenden Zugriff explizit zu autorisieren. Dies gilt nur für Verbindungstypen, die arbeitsbereichbasierte Filterung unterstützen, z. B. Lakehouse, Warehouse, FabricSql und PowerPlatformDataflows.
| Name | Typ | Beschreibung |
|---|---|---|
| workspaceId |
string (uuid) |
Der eindeutige Bezeichner (GUID) des Zielarbeitsbereichs, der aus dem aktuellen Arbeitsbereich verbunden werden darf. |
ErrorRelatedResource
Das Fehlerbezogene Ressourcendetails-Objekt.
| Name | Typ | Beschreibung |
|---|---|---|
| resourceId |
string |
Die Ressourcen-ID, die an dem Fehler beteiligt ist. |
| resourceType |
string |
Der Typ der Ressource, die an dem Fehler beteiligt ist. |
ErrorResponse
Die Fehlerantwort.
| Name | Typ | Beschreibung |
|---|---|---|
| errorCode |
string |
Ein bestimmter Bezeichner, der Informationen über eine Fehlerbedingung bereitstellt und eine standardisierte Kommunikation zwischen unserem Dienst und seinen Benutzern ermöglicht. |
| message |
string |
Eine lesbare Darstellung des Fehlers. |
| moreDetails |
Liste der zusätzlichen Fehlerdetails. |
|
| relatedResource |
Die fehlerbezogenen Ressourcendetails. |
|
| requestId |
string |
ID der Anforderung, die dem Fehler zugeordnet ist. |
ErrorResponseDetails
Die Fehlerantwortdetails.
| Name | Typ | Beschreibung |
|---|---|---|
| errorCode |
string |
Ein bestimmter Bezeichner, der Informationen über eine Fehlerbedingung bereitstellt und eine standardisierte Kommunikation zwischen unserem Dienst und seinen Benutzern ermöglicht. |
| message |
string |
Eine lesbare Darstellung des Fehlers. |
| relatedResource |
Die fehlerbezogenen Ressourcendetails. |
OutboundConnectionRule
Definiert eine Ausgehende Zugriffsregel für eine bestimmte Cloudverbindung.
| Name | Typ | Beschreibung |
|---|---|---|
| allowedEndpoints |
Definiert eine Liste der explizit zulässigen externen Endpunkte für den connectionType. Jeder Eintrag im Array stellt ein Hostnamenmuster dar, das für ausgehende Kommunikation aus dem Arbeitsbereich zulässig ist. Dieses Feld gilt nur für Verbindungstypen, die endpunktbasierte Filterung unterstützen (z. B. SQL, MySQL, Web usw.). Wenn defaultAction für den Verbindungstyp auf "Verweigern" festgelegt ist, sind nur die hier aufgeführten Endpunkte zulässig. alle anderen werden blockiert. |
|
| allowedWorkspaces |
Gibt eine Liste der Arbeitsbereichs-IDs an, die für die ausgehende Kommunikation für den angegebenen Fabric connectionType explizit zulässig sind. Dieses Feld gilt nur für Fabric-Verbindungstypen, die arbeitsbereichsbasierte Filterung unterstützen, beschränkt auf Lakehouse-, Warehouse-, FabricSql- und PowerPlatformDataflows. Wenn defaultAction für einen Verbindungstyp auf "Verweigern" festgelegt ist, werden nur die in allowedWorkspaces aufgeführten Arbeitsbereiche für ausgehenden Zugriff zugelassen. alle anderen werden blockiert. |
|
| connectionType |
string |
Gibt den Cloudverbindungstyp an, auf den die Regel angewendet wird. Das Verhalten und die Anwendbarkeit anderer Regeleigenschaften (z. B. allowedEndpoints oder allowedWorkspaces) kann je nach den Funktionen des Verbindungstyps variieren. |
| defaultAction |
Definiert das standardverhalten des ausgehenden Zugriffs für den connectionType. Dieses Feld bestimmt, ob Verbindungen dieses Typs standardmäßig zulässig oder blockiert werden, es sei denn, sie werden von allowedEndpoints oder allowedWorkspaces weiter verfeinert. Wenn diese Einstellung auf "Zulassen" festgelegt ist: Alle Verbindungen dieses Typs sind zulässig, es sei denn, dies wird von einer spezifischeren Regel explizit verweigert. Dieses Feld bietet eine differenzierte Kontrolle über jeden Verbindungstyp und ergänzt das globale Fallbackverhalten, das standardmäßig definiert wird. |
WorkspaceOutboundConnections
Stellt den vollständigen Satz von Cloudverbindungsregeln für ausgehenden Zugriff dar, die für einen Arbeitsbereich als Teil der Netzwerkkommunikationsrichtlinie konfiguriert sind. Dieses Objekt definiert die Verbindungsregeln, die steuern, welche externen Endpunkte und Arbeitsbereiche für ausgehende Kommunikation zulässig oder verweigert werden.
| Name | Typ | Beschreibung |
|---|---|---|
| defaultAction |
Definiert das Standardverhalten für alle Cloudverbindungstypen, die nicht explizit im Regelarray aufgeführt sind. Wenn sie auf "Zulassen" festgelegt ist, sind standardmäßig alle nicht angegebenen Verbindungstypen zulässig. Wenn dieser Wert auf "Verweigern" festgelegt ist, werden alle nicht angegebenen Verbindungstypen standardmäßig blockiert, es sei denn, dies ist explizit zulässig. Diese Einstellung fungiert als globale Fallbackrichtlinie und ist entscheidend für die Erzwingung eines sicheren Standardstatus in Umgebungen, in denen nur bekannte und vertrauenswürdige Verbindungen zulässig sein sollten. |
|
| rules |
Eine Liste der Regeln, die das Verhalten des ausgehenden Zugriffs für bestimmte Cloudverbindungstypen definieren. Jede Regel kann endpunktbasierte oder arbeitsbereichbasierte Einschränkungen enthalten, je nach unterstützten Verbindungstypen. |