Workspaces - Set Outbound Cloud Connection Rules
Establece las reglas de conexión de la nube de protección de acceso saliente para el área de trabajo. Esta API permite a los administradores del área de trabajo establecer reglas de comunicación de red salientes que controlan qué tipos de conexión en la nube y sus puntos de conexión o áreas de trabajo externos, siempre que corresponda, se permitan desde el área de trabajo. Esta funcionalidad actualmente está en su versión preliminar.
Nota:
Esta API forma parte de una versión preliminar y solo se proporciona con fines de evaluación y desarrollo. Puede cambiar en función de los comentarios y no se recomienda para su uso en producción.
Nota:
Las reglas de protección de acceso saliente solo se aplican si la directiva de comunicación de red del área de trabajo tiene outbound.publicAccessRules.defaultAction establecido en Deny. Si OAP no está habilitado en el área de trabajo, la API produce un error porque no se restringen las conexiones salientes.
Nota:
Esta API usa el método PUT y sobrescribirá todas las conexiones de acceso saliente para el área de trabajo. La directiva restante se establecerá en el valor predeterminado si la directiva parcial se proporciona en el cuerpo de la solicitud. Ejecute siempre Get first (Obtener primero) y proporcione la directiva completa en el cuerpo de la solicitud.
Permissions
El autor de la llamada debe tener el rol de área de trabajo de administrador .
Ámbitos delegados necesarios
Workspace.ReadWrite.All
Identidades admitidas de Microsoft Entra
Esta API admite las identidades de Microsoft enumeradas en esta sección.
| identidad | Support |
|---|---|
| Usuario | Sí |
| Entidad de servicio e Identidades administradas | Sí |
Interfaz
PUT https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/networking/communicationPolicy/outbound/connectionsParámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
workspace
|
path | True |
string (uuid) |
Identificador único del área de trabajo que se va a actualizar. |
Cuerpo de la solicitud
| Nombre | Tipo | Description |
|---|---|---|
| defaultAction |
Define el comportamiento predeterminado para todos los tipos de conexión en la nube que no se enumeran explícitamente en la matriz de reglas. Si se establece en "Permitir", todos los tipos de conexión no especificados se permiten de forma predeterminada. Si se establece en "Denegar", todos los tipos de conexión no especificados se bloquean de forma predeterminada a menos que se permita explícitamente. Esta configuración actúa como una directiva de reserva global y es fundamental para aplicar una posición predeterminada segura en entornos en los que solo se deben permitir las conexiones conocidas y de confianza. |
|
| rules |
Lista de reglas que definen el comportamiento de acceso saliente para tipos de conexión en la nube específicos. Cada regla puede incluir restricciones basadas en puntos de conexión o basadas en áreas de trabajo en función de los tipos de conexión admitidos. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK |
Solicitud completada correctamente. Encabezados ETag: string |
|
| Other Status Codes |
Códigos de error comunes:
|
Ejemplos
Set workspace outbound access protection cloud connection rule for example
Solicitud de ejemplo
PUT https://api.fabric.microsoft.com/v1/workspaces/47482db6-4583-4672-86dd-999d0f8f4d7a/networking/communicationPolicy/outbound/connections
{
"defaultAction": "Deny",
"rules": [
{
"connectionType": "SQL",
"defaultAction": "Deny",
"allowedEndpoints": [
{
"hostNamePattern": "*.microsoft.com"
}
]
},
{
"connectionType": "LakeHouse",
"defaultAction": "Deny",
"allowedWorkspaces": [
{
"workspaceId": "91c5ae74-e82d-4dd3-bfeb-6b1814030123"
}
]
},
{
"connectionType": "Web",
"defaultAction": "Allow"
}
]
}
Respuesta de muestra
ETag: 0f8fad5b-d9cb-469f-a165-70867728950eDefiniciones
| Nombre | Description |
|---|---|
|
Connection |
Define el comportamiento del control de acceso para las conexiones salientes. Esta enumeración se usa para el campo defaultAction para especificar si se debe permitir o denegar la comunicación saliente de forma predeterminada. Este tipo permite el control global y específico de la conexión sobre el acceso saliente, lo que ayuda a aplicar directivas de comunicación de red seguras y predecibles. Se pueden agregar tipos de acción de acceso de conexión adicionales a lo largo del tiempo. |
|
Connection |
Representa una única regla de excepción de nivel de punto de conexión que permite la comunicación saliente a un dominio o host externo específico. Este objeto se usa dentro de la matriz allowedEndpoints de una regla de conexión para autorizar explícitamente el acceso saliente a los puntos de conexión de confianza para un connectionType determinado. Esto solo se aplica a los tipos de conexión que admiten el filtrado basado en puntos de conexión (por ejemplo, SQL, MySQL, Web, etc.). |
|
Connection |
Representa una regla de excepción de nivel de área de trabajo que permite la comunicación saliente a un área de trabajo específica para un tipo de conexión determinado. Este objeto se usa dentro de la matriz allowedWorkspaces de una regla de conexión para autorizar explícitamente el acceso entre áreas de trabajo. Esto solo se aplica a los tipos de conexión que admiten el filtrado basado en áreas de trabajo, como Lakehouse, Warehouse, FabricSql y PowerPlatformDataflows. |
|
Error |
Objeto de detalles del recurso relacionado con el error. |
|
Error |
Respuesta de error. |
|
Error |
Detalles de la respuesta de error. |
|
Outbound |
Define una regla de acceso de salida para una conexión en la nube específica. |
|
Workspace |
Representa el conjunto completo de reglas de conexión en la nube de protección de acceso saliente configuradas para un área de trabajo como parte de su directiva de comunicación de red. Este objeto define las reglas de conexión que rigen qué puntos de conexión externos y áreas de trabajo se permiten o deniegan para la comunicación saliente. |
ConnectionAccessActionType
Define el comportamiento del control de acceso para las conexiones salientes. Esta enumeración se usa para el campo defaultAction para especificar si se debe permitir o denegar la comunicación saliente de forma predeterminada. Este tipo permite el control global y específico de la conexión sobre el acceso saliente, lo que ayuda a aplicar directivas de comunicación de red seguras y predecibles. Se pueden agregar tipos de acción de acceso de conexión adicionales a lo largo del tiempo.
| Valor | Description |
|---|---|
| Allow |
Permite conexiones salientes. Cuando se usa como acción predeterminada, se permiten todas las conexiones en la nube. |
| Deny |
Bloquea las conexiones salientes. Cuando se usa como acción predeterminada, se deniegan todas las conexiones en la nube a menos que se permita explícitamente. |
ConnectionRuleEndpointMetadata
Representa una única regla de excepción de nivel de punto de conexión que permite la comunicación saliente a un dominio o host externo específico. Este objeto se usa dentro de la matriz allowedEndpoints de una regla de conexión para autorizar explícitamente el acceso saliente a los puntos de conexión de confianza para un connectionType determinado. Esto solo se aplica a los tipos de conexión que admiten el filtrado basado en puntos de conexión (por ejemplo, SQL, MySQL, Web, etc.).
| Nombre | Tipo | Description |
|---|---|---|
| hostNamePattern |
string |
Patrón compatible con caracteres comodín que define el punto de conexión externo permitido. Algunos ejemplos son *.microsoft.com, api.contoso.com o data.partner.org. |
ConnectionRuleWorkspaceMetadata
Representa una regla de excepción de nivel de área de trabajo que permite la comunicación saliente a un área de trabajo específica para un tipo de conexión determinado. Este objeto se usa dentro de la matriz allowedWorkspaces de una regla de conexión para autorizar explícitamente el acceso entre áreas de trabajo. Esto solo se aplica a los tipos de conexión que admiten el filtrado basado en áreas de trabajo, como Lakehouse, Warehouse, FabricSql y PowerPlatformDataflows.
| Nombre | Tipo | Description |
|---|---|---|
| workspaceId |
string (uuid) |
Identificador único (GUID) del área de trabajo de destino que se puede conectar desde el área de trabajo actual. |
ErrorRelatedResource
Objeto de detalles del recurso relacionado con el error.
| Nombre | Tipo | Description |
|---|---|---|
| resourceId |
string |
Identificador de recurso implicado en el error. |
| resourceType |
string |
Tipo del recurso implicado en el error. |
ErrorResponse
Respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| errorCode |
string |
Identificador específico que proporciona información sobre una condición de error, lo que permite una comunicación estandarizada entre nuestro servicio y sus usuarios. |
| message |
string |
Representación legible del error. |
| moreDetails |
Lista de detalles de error adicionales. |
|
| relatedResource |
Detalles del recurso relacionado con el error. |
|
| requestId |
string |
Identificador de la solicitud asociada al error. |
ErrorResponseDetails
Detalles de la respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| errorCode |
string |
Identificador específico que proporciona información sobre una condición de error, lo que permite una comunicación estandarizada entre nuestro servicio y sus usuarios. |
| message |
string |
Representación legible del error. |
| relatedResource |
Detalles del recurso relacionado con el error. |
OutboundConnectionRule
Define una regla de acceso de salida para una conexión en la nube específica.
| Nombre | Tipo | Description |
|---|---|---|
| allowedEndpoints |
Define una lista de puntos de conexión externos permitidos explícitamente para connectionType. Cada entrada de la matriz representa un patrón de nombre de host que se permite para la comunicación saliente desde el área de trabajo. Este campo solo es aplicable a los tipos de conexión que admiten el filtrado basado en puntos de conexión (por ejemplo, SQL, MySQL, Web, etc.). Si defaultAction se establece en "Deny" para el tipo de conexión, solo se permitirán los puntos de conexión que se enumeran aquí; todos los demás se bloquearán. |
|
| allowedWorkspaces |
Especifica una lista de identificadores de área de trabajo que se permiten explícitamente para la comunicación saliente para el tipo de conexión de tejido especificado. Este campo solo se aplica a los tipos de conexión de tejido que admiten el filtrado basado en el área de trabajo, limitado a Lakehouse, Warehouse, FabricSql y PowerPlatformDataflows. Cuando defaultAction se establece en "Denegar" para un tipo de conexión, solo se permitirán las áreas de trabajo enumeradas en allowedWorkspaces para el acceso saliente; todos los demás se bloquearán. |
|
| connectionType |
string |
Especifica el tipo de conexión en la nube al que se aplica la regla. El comportamiento y la aplicabilidad de otras propiedades de regla (como allowedEndpoints o allowedWorkspaces) pueden variar en función de las funcionalidades del tipo de conexión. |
| defaultAction |
Define el comportamiento de acceso de salida predeterminado para connectionType. Este campo determina si las conexiones de este tipo están permitidas o bloqueadas de forma predeterminada, a menos que se afinan aún más mediante allowedEndpoints o allowedWorkspaces. Si se establece en "Permitir": todas las conexiones de este tipo se permiten a menos que se denieguen explícitamente mediante una regla más específica. Este campo proporciona un control específico sobre cada tipo de conexión y complementa el comportamiento de reserva global definido por defaultAction. |
WorkspaceOutboundConnections
Representa el conjunto completo de reglas de conexión en la nube de protección de acceso saliente configuradas para un área de trabajo como parte de su directiva de comunicación de red. Este objeto define las reglas de conexión que rigen qué puntos de conexión externos y áreas de trabajo se permiten o deniegan para la comunicación saliente.
| Nombre | Tipo | Description |
|---|---|---|
| defaultAction |
Define el comportamiento predeterminado para todos los tipos de conexión en la nube que no se enumeran explícitamente en la matriz de reglas. Si se establece en "Permitir", todos los tipos de conexión no especificados se permiten de forma predeterminada. Si se establece en "Denegar", todos los tipos de conexión no especificados se bloquean de forma predeterminada a menos que se permita explícitamente. Esta configuración actúa como una directiva de reserva global y es fundamental para aplicar una posición predeterminada segura en entornos en los que solo se deben permitir las conexiones conocidas y de confianza. |
|
| rules |
Lista de reglas que definen el comportamiento de acceso saliente para tipos de conexión en la nube específicos. Cada regla puede incluir restricciones basadas en puntos de conexión o basadas en áreas de trabajo en función de los tipos de conexión admitidos. |