Workspaces - Set Outbound Cloud Connection Rules
Legt die Regeln für den Ausgehenden Zugriffsschutz für die Cloudverbindung für den Arbeitsbereich fest. Mit dieser API können Arbeitsbereichsadministratoren ausgehende Netzwerkkommunikationsregeln festlegen, die steuern, welche Cloudverbindungstypen und deren externe Endpunkte/Arbeitsbereiche je nach Bedarf vom Arbeitsbereich zugelassen werden sollen. Diese Funktion steht derzeit als Vorschau zur Verfügung.
Hinweis
Diese API ist Teil einer Preview-Version und wird nur für Evaluierungs- und Entwicklungszwecke bereitgestellt. Sie kann sich basierend auf Feedback ändern und wird nicht für den Produktionseinsatz empfohlen.
Hinweis
Schutzregeln für ausgehenden Zugriff werden nur erzwungen, wenn die Netzwerkkommunikationsrichtlinie des Arbeitsbereichs "outbound.publicAccessRules.defaultAction" auf "Verweigern" festgelegt ist. Wenn OAP im Arbeitsbereich nicht aktiviert ist, schlägt die API fehl, da ausgehende Verbindungen nicht eingeschränkt werden.
Hinweis
Diese API verwendet die PUT-Methode und überschreibt alle ausgehenden Zugriffsverbindungen für den Arbeitsbereich. Die verbleibende Richtlinie wird auf den Standardwert festgelegt, wenn eine partielle Richtlinie im Anforderungstext bereitgestellt wird. Führen Sie immer "Zuerst abrufen" aus, und stellen Sie eine vollständige Richtlinie im Anforderungstext bereit.
Erlaubnisse
Der Anrufer muss über Administratorrolle Arbeitsbereichs verfügen.
Erforderliche delegierte Bereiche
Arbeitsbereich.ReadWrite.All
Von Microsoft Entra unterstützte Identitäten
Diese API unterstützt die in diesem Abschnitt aufgeführten Microsoft Identitäten.
| Identität | Support |
|---|---|
| Benutzer | Yes |
| Service Principal und Verwaltete Identitäten | Yes |
Schnittstelle
PUT https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/networking/communicationPolicy/outbound/connectionsURI-Parameter
| Name | In | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
workspace
|
path | True |
string (uuid) |
Eindeutiger Bezeichner des zu aktualisierenden Arbeitsbereichs. |
Anforderungstext
| Name | Typ | Beschreibung |
|---|---|---|
| defaultAction |
Definiert das Standardverhalten für alle Cloudverbindungstypen, die nicht explizit im Regelarray aufgeführt sind. Wenn sie auf "Zulassen" festgelegt ist, sind standardmäßig alle nicht angegebenen Verbindungstypen zulässig. Wenn dieser Wert auf "Verweigern" festgelegt ist, werden alle nicht angegebenen Verbindungstypen standardmäßig blockiert, es sei denn, dies ist explizit zulässig. Diese Einstellung fungiert als globale Fallbackrichtlinie und ist entscheidend für die Erzwingung eines sicheren Standardstatus in Umgebungen, in denen nur bekannte und vertrauenswürdige Verbindungen zulässig sein sollten. |
|
| rules |
Eine Liste der Regeln, die das Verhalten des ausgehenden Zugriffs für bestimmte Cloudverbindungstypen definieren. Jede Regel kann endpunktbasierte oder arbeitsbereichbasierte Einschränkungen enthalten, je nach unterstützten Verbindungstypen. |
Antworten
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK |
Die Anforderung wurde erfolgreich abgeschlossen. Header ETag: string |
|
| Other Status Codes |
Häufige Fehlercodes:
|
Beispiele
Set workspace outbound access protection cloud connection rule for example
Beispielanforderung
PUT https://api.fabric.microsoft.com/v1/workspaces/47482db6-4583-4672-86dd-999d0f8f4d7a/networking/communicationPolicy/outbound/connections
{
"defaultAction": "Deny",
"rules": [
{
"connectionType": "SQL",
"defaultAction": "Deny",
"allowedEndpoints": [
{
"hostNamePattern": "*.microsoft.com"
}
]
},
{
"connectionType": "LakeHouse",
"defaultAction": "Deny",
"allowedWorkspaces": [
{
"workspaceId": "91c5ae74-e82d-4dd3-bfeb-6b1814030123"
}
]
},
{
"connectionType": "Web",
"defaultAction": "Allow"
}
]
}
Beispiel für eine Antwort
ETag: 0f8fad5b-d9cb-469f-a165-70867728950eDefinitionen
| Name | Beschreibung |
|---|---|
|
Connection |
Definiert das Zugriffssteuerungsverhalten für ausgehende Verbindungen. Diese Enumeration wird für das Feld defaultAction verwendet, um anzugeben, ob ausgehende Kommunikation standardmäßig zulässig oder verweigert werden soll. Dieser Typ ermöglicht sowohl globale als auch verbindungsspezifische Kontrolle über ausgehenden Zugriff, wodurch sichere und vorhersehbare Netzwerkkommunikationsrichtlinien erzwungen werden. Zusätzliche Verbindungszugriffsaktionstypen können im Laufe der Zeit hinzugefügt werden. |
|
Connection |
Stellt eine Ausnahmeregel auf einzelner Endpunktebene dar, die ausgehende Kommunikation mit einer bestimmten externen Domäne oder einem bestimmten Host ermöglicht. Dieses Objekt wird innerhalb des arrays allowedEndpoints einer Verbindungsregel verwendet, um explizit ausgehenden Zugriff auf vertrauenswürdige Endpunkte für einen bestimmten connectionType zu autorisieren. Dies gilt nur für Verbindungstypen, die endpunktbasierte Filterung unterstützen (z. B. SQL, MySQL, Web usw.). |
|
Connection |
Stellt eine Ausnahmeregel auf Arbeitsbereichsebene dar, die ausgehende Kommunikation mit einem bestimmten Arbeitsbereich für einen bestimmten ConnectionType ermöglicht. Dieses Objekt wird innerhalb des arrays allowedWorkspaces einer Verbindungsregel verwendet, um den arbeitsbereichübergreifenden Zugriff explizit zu autorisieren. Dies gilt nur für Verbindungstypen, die arbeitsbereichbasierte Filterung unterstützen, z. B. Lakehouse, Warehouse, FabricSql und PowerPlatformDataflows. |
|
Error |
Das Fehlerbezogene Ressourcendetails-Objekt. |
|
Error |
Die Fehlerantwort. |
|
Error |
Die Fehlerantwortdetails. |
|
Outbound |
Definiert eine Ausgehende Zugriffsregel für eine bestimmte Cloudverbindung. |
|
Workspace |
Stellt den vollständigen Satz von Cloudverbindungsregeln für ausgehenden Zugriff dar, die für einen Arbeitsbereich als Teil der Netzwerkkommunikationsrichtlinie konfiguriert sind. Dieses Objekt definiert die Verbindungsregeln, die steuern, welche externen Endpunkte und Arbeitsbereiche für ausgehende Kommunikation zulässig oder verweigert werden. |
ConnectionAccessActionType
Definiert das Zugriffssteuerungsverhalten für ausgehende Verbindungen. Diese Enumeration wird für das Feld defaultAction verwendet, um anzugeben, ob ausgehende Kommunikation standardmäßig zulässig oder verweigert werden soll. Dieser Typ ermöglicht sowohl globale als auch verbindungsspezifische Kontrolle über ausgehenden Zugriff, wodurch sichere und vorhersehbare Netzwerkkommunikationsrichtlinien erzwungen werden. Zusätzliche Verbindungszugriffsaktionstypen können im Laufe der Zeit hinzugefügt werden.
| Wert | Beschreibung |
|---|---|
| Allow |
Ermöglicht ausgehende Verbindungen. Bei Verwendung als Standardaktion sind alle Cloudverbindungen zulässig. |
| Deny |
Blockiert ausgehende Verbindungen. Wenn sie als Standardaktion verwendet wird, werden alle Cloudverbindungen verweigert, es sei denn, sie sind explizit zulässig. |
ConnectionRuleEndpointMetadata
Stellt eine Ausnahmeregel auf einzelner Endpunktebene dar, die ausgehende Kommunikation mit einer bestimmten externen Domäne oder einem bestimmten Host ermöglicht. Dieses Objekt wird innerhalb des arrays allowedEndpoints einer Verbindungsregel verwendet, um explizit ausgehenden Zugriff auf vertrauenswürdige Endpunkte für einen bestimmten connectionType zu autorisieren. Dies gilt nur für Verbindungstypen, die endpunktbasierte Filterung unterstützen (z. B. SQL, MySQL, Web usw.).
| Name | Typ | Beschreibung |
|---|---|---|
| hostNamePattern |
string |
Ein von Einem Wildcard unterstütztes Muster, das den zulässigen externen Endpunkt definiert. Beispiele sind *.microsoft.com, api.contoso.com oder data.partner.org. |
ConnectionRuleWorkspaceMetadata
Stellt eine Ausnahmeregel auf Arbeitsbereichsebene dar, die ausgehende Kommunikation mit einem bestimmten Arbeitsbereich für einen bestimmten ConnectionType ermöglicht. Dieses Objekt wird innerhalb des arrays allowedWorkspaces einer Verbindungsregel verwendet, um den arbeitsbereichübergreifenden Zugriff explizit zu autorisieren. Dies gilt nur für Verbindungstypen, die arbeitsbereichbasierte Filterung unterstützen, z. B. Lakehouse, Warehouse, FabricSql und PowerPlatformDataflows.
| Name | Typ | Beschreibung |
|---|---|---|
| workspaceId |
string (uuid) |
Der eindeutige Bezeichner (GUID) des Zielarbeitsbereichs, der aus dem aktuellen Arbeitsbereich verbunden werden darf. |
ErrorRelatedResource
Das Fehlerbezogene Ressourcendetails-Objekt.
| Name | Typ | Beschreibung |
|---|---|---|
| resourceId |
string |
Die Ressourcen-ID, die an dem Fehler beteiligt ist. |
| resourceType |
string |
Der Typ der Ressource, die an dem Fehler beteiligt ist. |
ErrorResponse
Die Fehlerantwort.
| Name | Typ | Beschreibung |
|---|---|---|
| errorCode |
string |
Ein bestimmter Bezeichner, der Informationen über eine Fehlerbedingung bereitstellt und eine standardisierte Kommunikation zwischen unserem Dienst und seinen Benutzern ermöglicht. |
| message |
string |
Eine lesbare Darstellung des Fehlers. |
| moreDetails |
Liste der zusätzlichen Fehlerdetails. |
|
| relatedResource |
Die fehlerbezogenen Ressourcendetails. |
|
| requestId |
string |
ID der Anforderung, die dem Fehler zugeordnet ist. |
ErrorResponseDetails
Die Fehlerantwortdetails.
| Name | Typ | Beschreibung |
|---|---|---|
| errorCode |
string |
Ein bestimmter Bezeichner, der Informationen über eine Fehlerbedingung bereitstellt und eine standardisierte Kommunikation zwischen unserem Dienst und seinen Benutzern ermöglicht. |
| message |
string |
Eine lesbare Darstellung des Fehlers. |
| relatedResource |
Die fehlerbezogenen Ressourcendetails. |
OutboundConnectionRule
Definiert eine Ausgehende Zugriffsregel für eine bestimmte Cloudverbindung.
| Name | Typ | Beschreibung |
|---|---|---|
| allowedEndpoints |
Definiert eine Liste der explizit zulässigen externen Endpunkte für den connectionType. Jeder Eintrag im Array stellt ein Hostnamenmuster dar, das für ausgehende Kommunikation aus dem Arbeitsbereich zulässig ist. Dieses Feld gilt nur für Verbindungstypen, die endpunktbasierte Filterung unterstützen (z. B. SQL, MySQL, Web usw.). Wenn defaultAction für den Verbindungstyp auf "Verweigern" festgelegt ist, sind nur die hier aufgeführten Endpunkte zulässig. alle anderen werden blockiert. |
|
| allowedWorkspaces |
Gibt eine Liste der Arbeitsbereichs-IDs an, die für die ausgehende Kommunikation für den angegebenen Fabric connectionType explizit zulässig sind. Dieses Feld gilt nur für Fabric-Verbindungstypen, die arbeitsbereichsbasierte Filterung unterstützen, beschränkt auf Lakehouse-, Warehouse-, FabricSql- und PowerPlatformDataflows. Wenn defaultAction für einen Verbindungstyp auf "Verweigern" festgelegt ist, werden nur die in allowedWorkspaces aufgeführten Arbeitsbereiche für ausgehenden Zugriff zugelassen. alle anderen werden blockiert. |
|
| connectionType |
string |
Gibt den Cloudverbindungstyp an, auf den die Regel angewendet wird. Das Verhalten und die Anwendbarkeit anderer Regeleigenschaften (z. B. allowedEndpoints oder allowedWorkspaces) kann je nach den Funktionen des Verbindungstyps variieren. |
| defaultAction |
Definiert das standardverhalten des ausgehenden Zugriffs für den connectionType. Dieses Feld bestimmt, ob Verbindungen dieses Typs standardmäßig zulässig oder blockiert werden, es sei denn, sie werden von allowedEndpoints oder allowedWorkspaces weiter verfeinert. Wenn diese Einstellung auf "Zulassen" festgelegt ist: Alle Verbindungen dieses Typs sind zulässig, es sei denn, dies wird von einer spezifischeren Regel explizit verweigert. Dieses Feld bietet eine differenzierte Kontrolle über jeden Verbindungstyp und ergänzt das globale Fallbackverhalten, das standardmäßig definiert wird. |
WorkspaceOutboundConnections
Stellt den vollständigen Satz von Cloudverbindungsregeln für ausgehenden Zugriff dar, die für einen Arbeitsbereich als Teil der Netzwerkkommunikationsrichtlinie konfiguriert sind. Dieses Objekt definiert die Verbindungsregeln, die steuern, welche externen Endpunkte und Arbeitsbereiche für ausgehende Kommunikation zulässig oder verweigert werden.
| Name | Typ | Beschreibung |
|---|---|---|
| defaultAction |
Definiert das Standardverhalten für alle Cloudverbindungstypen, die nicht explizit im Regelarray aufgeführt sind. Wenn sie auf "Zulassen" festgelegt ist, sind standardmäßig alle nicht angegebenen Verbindungstypen zulässig. Wenn dieser Wert auf "Verweigern" festgelegt ist, werden alle nicht angegebenen Verbindungstypen standardmäßig blockiert, es sei denn, dies ist explizit zulässig. Diese Einstellung fungiert als globale Fallbackrichtlinie und ist entscheidend für die Erzwingung eines sicheren Standardstatus in Umgebungen, in denen nur bekannte und vertrauenswürdige Verbindungen zulässig sein sollten. |
|
| rules |
Eine Liste der Regeln, die das Verhalten des ausgehenden Zugriffs für bestimmte Cloudverbindungstypen definieren. Jede Regel kann endpunktbasierte oder arbeitsbereichbasierte Einschränkungen enthalten, je nach unterstützten Verbindungstypen. |