Workspaces - Set Outbound Cloud Connection Rules
Ustawia reguły połączeń z chmurą ochrony dostępu dla ruchu wychodzącego dla obszaru roboczego. Ten interfejs API umożliwia administratorom obszarów roboczych ustawianie reguł komunikacji sieciowej ruchu wychodzącego, które kontrolują typy połączeń w chmurze i ich zewnętrzne punkty końcowe/obszary robocze, w których zawsze mają zastosowanie, mają być dozwolone z obszaru roboczego. Ta funkcja jest obecnie dostępna w wersji zapoznawczej.
Uwaga / Notatka
Ten interfejs API jest częścią wersji zapoznawczej i jest dostarczany tylko do celów ewaluacyjnych i programistycznych. Może ona ulec zmianie na podstawie opinii i nie jest zalecana do użytku produkcyjnego.
Uwaga / Notatka
Reguły ochrony dostępu wychodzącego są wymuszane tylko wtedy, gdy zasady komunikacji sieciowej obszaru roboczego mają wartość outbound.publicAccessRules.defaultAction ustawioną na Odmów. Jeśli protokół OAP nie jest włączony w obszarze roboczym, interfejs API kończy się niepowodzeniem, ponieważ połączenia wychodzące nie są ograniczone.
Uwaga / Notatka
Ten interfejs API używa metody PUT i zastąpi wszystkie połączenia dostępu wychodzącego dla obszaru roboczego. Pozostałe zasady zostaną ustawione na wartość domyślną, jeśli zasady częściowe zostaną podane w treści żądania. Zawsze uruchamiaj polecenie Pobierz najpierw i podaj pełne zasady w treści żądania.
Permissions
Obiekt wywołujący musi mieć rolę administratora obszaru roboczego.
Wymagane zakresy delegowane
Przestrzeń robocza.OdczytZapis.Wszystko
Tożsamości obsługiwane przez Microsoft Entra
To API obsługuje tożsamości Microsoft wymienione w tej sekcji.
| Tożsamość | Support |
|---|---|
| User | Tak |
| Główne usługi i Tożsamości zarządzane | Tak |
Interfejs
PUT https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/networking/communicationPolicy/outbound/connectionsParametry identyfikatora URI
| Nazwa | W | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
workspace
|
path | True |
string (uuid) |
Unikatowy identyfikator obszaru roboczego do zaktualizowania. |
Treść żądania
| Nazwa | Typ | Opis |
|---|---|---|
| defaultAction |
Definiuje domyślne zachowanie dla wszystkich typów połączeń w chmurze, które nie są jawnie wymienione w tablicy reguł. W przypadku ustawienia opcji "Zezwalaj" wszystkie nieokreślone typy połączeń są domyślnie dozwolone. W przypadku ustawienia opcji "Odmów" wszystkie nieokreślone typy połączeń są domyślnie blokowane, chyba że jawnie dozwolone. To ustawienie działa jako globalne zasady rezerwowe i ma kluczowe znaczenie dla wymuszania bezpiecznego stanu domyślnego w środowiskach, w których powinny być dozwolone tylko znane i zaufane połączenia. |
|
| rules |
Lista reguł definiujących zachowanie dostępu wychodzącego dla określonych typów połączeń w chmurze. Każda reguła może obejmować ograniczenia oparte na punkcie końcowym lub obszarze roboczym w zależności od obsługiwanych typów połączeń. |
Odpowiedzi
| Nazwa | Typ | Opis |
|---|---|---|
| 200 OK |
Żądanie zostało ukończone pomyślnie. Nagłówki ETag: string |
|
| Other Status Codes |
Typowe kody błędów:
|
Przykłady
Set workspace outbound access protection cloud connection rule for example
Przykładowe żądanie
PUT https://api.fabric.microsoft.com/v1/workspaces/47482db6-4583-4672-86dd-999d0f8f4d7a/networking/communicationPolicy/outbound/connections
{
"defaultAction": "Deny",
"rules": [
{
"connectionType": "SQL",
"defaultAction": "Deny",
"allowedEndpoints": [
{
"hostNamePattern": "*.microsoft.com"
}
]
},
{
"connectionType": "LakeHouse",
"defaultAction": "Deny",
"allowedWorkspaces": [
{
"workspaceId": "91c5ae74-e82d-4dd3-bfeb-6b1814030123"
}
]
},
{
"connectionType": "Web",
"defaultAction": "Allow"
}
]
}
Przykładowa odpowiedź
ETag: 0f8fad5b-d9cb-469f-a165-70867728950eDefinicje
| Nazwa | Opis |
|---|---|
|
Connection |
Definiuje zachowanie kontroli dostępu dla połączeń wychodzących. To wyliczenie jest używane dla pola defaultAction, aby określić, czy komunikacja wychodząca powinna być domyślnie dozwolona, czy blokowana. Ten typ umożliwia zarówno globalną, jak i specyficzną dla połączenia kontrolę dostępu wychodzącego, pomagając wymuszać bezpieczne i przewidywalne zasady komunikacji sieciowej. Dodatkowe typy akcji dostępu do połączeń mogą być dodawane w czasie. |
|
Connection |
Reprezentuje regułę wyjątku na poziomie pojedynczego punktu końcowego, która zezwala na komunikację wychodzącą z określoną domeną zewnętrzną lub hostem. Ten obiekt jest używany w tablicy allowedEndpoints reguły połączenia, aby jawnie autoryzować dostęp wychodzący do zaufanych punktów końcowych dla danego parametru connectionType. Dotyczy to tylko typów połączeń, które obsługują filtrowanie oparte na punkcie końcowym (np. SQL, MySQL, Web itp.). |
|
Connection |
Reprezentuje regułę wyjątku na poziomie obszaru roboczego, która umożliwia komunikację wychodzącą z określonym obszarem roboczym dla danego parametru connectionType. Ten obiekt jest używany w tablicy allowedWorkspaces reguły połączenia, aby jawnie autoryzować dostęp między obszarami roboczymi. Dotyczy to tylko typów połączeń, które obsługują filtrowanie oparte na obszarze roboczym, takie jak Lakehouse, Warehouse, FabricSql i PowerPlatformDataflows. |
|
Error |
Obiekt szczegółów zasobu powiązanego z błędem. |
|
Error |
Odpowiedź na błąd. |
|
Error |
Szczegóły odpowiedzi na błąd. |
|
Outbound |
Definiuje regułę dostępu wychodzącego dla określonego połączenia w chmurze. |
|
Workspace |
Reprezentuje kompletny zestaw reguł połączeń z chmurą ochrony dostępu wychodzącego skonfigurowanych dla obszaru roboczego w ramach zasad komunikacji sieciowej. Ten obiekt definiuje reguły połączeń, które określają, które zewnętrzne punkty końcowe i obszary robocze są dozwolone lub blokowane dla komunikacji wychodzącej |
ConnectionAccessActionType
Definiuje zachowanie kontroli dostępu dla połączeń wychodzących. To wyliczenie jest używane dla pola defaultAction, aby określić, czy komunikacja wychodząca powinna być domyślnie dozwolona, czy blokowana. Ten typ umożliwia zarówno globalną, jak i specyficzną dla połączenia kontrolę dostępu wychodzącego, pomagając wymuszać bezpieczne i przewidywalne zasady komunikacji sieciowej. Dodatkowe typy akcji dostępu do połączeń mogą być dodawane w czasie.
| Wartość | Opis |
|---|---|
| Allow |
Zezwala na połączenia wychodzące. W przypadku użycia jako akcji domyślnej wszystkie połączenia w chmurze są dozwolone. |
| Deny |
Blokuje połączenia wychodzące. W przypadku użycia jako akcji domyślnej wszystkie połączenia w chmurze są odrzucane, chyba że jawnie dozwolone. |
ConnectionRuleEndpointMetadata
Reprezentuje regułę wyjątku na poziomie pojedynczego punktu końcowego, która zezwala na komunikację wychodzącą z określoną domeną zewnętrzną lub hostem. Ten obiekt jest używany w tablicy allowedEndpoints reguły połączenia, aby jawnie autoryzować dostęp wychodzący do zaufanych punktów końcowych dla danego parametru connectionType. Dotyczy to tylko typów połączeń, które obsługują filtrowanie oparte na punkcie końcowym (np. SQL, MySQL, Web itp.).
| Nazwa | Typ | Opis |
|---|---|---|
| hostNamePattern |
string |
Wzorzec obsługiwany przez symbol wieloznaczny, który definiuje dozwolony zewnętrzny punkt końcowy. Przykłady obejmują *.microsoft.com, api.contoso.com lub data.partner.org. |
ConnectionRuleWorkspaceMetadata
Reprezentuje regułę wyjątku na poziomie obszaru roboczego, która umożliwia komunikację wychodzącą z określonym obszarem roboczym dla danego parametru connectionType. Ten obiekt jest używany w tablicy allowedWorkspaces reguły połączenia, aby jawnie autoryzować dostęp między obszarami roboczymi. Dotyczy to tylko typów połączeń, które obsługują filtrowanie oparte na obszarze roboczym, takie jak Lakehouse, Warehouse, FabricSql i PowerPlatformDataflows.
| Nazwa | Typ | Opis |
|---|---|---|
| workspaceId |
string (uuid) |
Unikatowy identyfikator (GUID) docelowego obszaru roboczego, który może być połączony z bieżącym obszarem roboczym. |
ErrorRelatedResource
Obiekt szczegółów zasobu powiązanego z błędem.
| Nazwa | Typ | Opis |
|---|---|---|
| resourceId |
string |
Identyfikator zasobu, który jest zaangażowany w błąd. |
| resourceType |
string |
Typ zasobu, który jest zaangażowany w błąd. |
ErrorResponse
Odpowiedź na błąd.
| Nazwa | Typ | Opis |
|---|---|---|
| errorCode |
string |
Określony identyfikator, który zawiera informacje o stanie błędu, co pozwala na ustandaryzowaną komunikację między naszą usługą a jej użytkownikami. |
| message |
string |
Czytelna reprezentacja błędu przez człowieka. |
| moreDetails |
Lista dodatkowych szczegółów błędu. |
|
| relatedResource |
Szczegóły zasobu powiązanego z błędem. |
|
| requestId |
string |
Identyfikator żądania skojarzonego z błędem. |
ErrorResponseDetails
Szczegóły odpowiedzi na błąd.
| Nazwa | Typ | Opis |
|---|---|---|
| errorCode |
string |
Określony identyfikator, który zawiera informacje o stanie błędu, co pozwala na ustandaryzowaną komunikację między naszą usługą a jej użytkownikami. |
| message |
string |
Czytelna reprezentacja błędu przez człowieka. |
| relatedResource |
Szczegóły zasobu powiązanego z błędem. |
OutboundConnectionRule
Definiuje regułę dostępu wychodzącego dla określonego połączenia w chmurze.
| Nazwa | Typ | Opis |
|---|---|---|
| allowedEndpoints |
Definiuje listę jawnie dozwolonych zewnętrznych punktów końcowych dla parametru connectionType. Każdy wpis w tablicy reprezentuje wzorzec nazwy hosta dozwolony dla komunikacji wychodzącej z obszaru roboczego. To pole ma zastosowanie tylko do typów połączeń, które obsługują filtrowanie oparte na punkcie końcowym (np. SQL, MySQL, Web itp.). Jeśli ustawienie defaultAction ma wartość "Odmów" dla typu połączenia, dozwolone będą tylko punkty końcowe wymienione tutaj; wszystkie inne zostaną zablokowane. |
|
| allowedWorkspaces |
Określa listę identyfikatorów obszarów roboczych, które są jawnie dozwolone dla komunikacji wychodzącej dla danego parametru connectionType sieci szkieletowej. To pole ma zastosowanie tylko do typów połączeń sieci szkieletowych, które obsługują filtrowanie oparte na obszarze roboczym, ograniczone do usługi Lakehouse, Warehouse, FabricSql i PowerPlatformDataflows. Jeśli ustawienie defaultAction ma wartość "Odmów" dla typu połączenia, tylko obszary robocze wymienione w obszarze allowedWorkspaces będą dozwolone dla dostępu wychodzącego; wszystkie inne zostaną zablokowane. |
|
| connectionType |
string |
Określa typ połączenia w chmurze, do którego ma zastosowanie reguła. Zachowanie i zastosowanie innych właściwości reguły (takich jak allowedEndpoints lub allowedWorkspaces) może się różnić w zależności od możliwości typu połączenia. |
| defaultAction |
Definiuje domyślne zachowanie dostępu wychodzącego dla parametru connectionType. To pole określa, czy połączenia tego typu są domyślnie dozwolone lub blokowane, chyba że bardziej uściślić dozwolone Punkty końcowe lub dozwoloneWorkspaces. Jeśli ustawiono wartość "Zezwalaj": wszystkie połączenia tego typu są dozwolone, chyba że jawnie odmówiono przez bardziej szczegółową regułę. To pole zapewnia szczegółową kontrolę nad każdym typem połączenia i uzupełnia globalne zachowanie rezerwowe zdefiniowane domyślnie. |
WorkspaceOutboundConnections
Reprezentuje kompletny zestaw reguł połączeń z chmurą ochrony dostępu wychodzącego skonfigurowanych dla obszaru roboczego w ramach zasad komunikacji sieciowej. Ten obiekt definiuje reguły połączeń, które określają, które zewnętrzne punkty końcowe i obszary robocze są dozwolone lub blokowane dla komunikacji wychodzącej
| Nazwa | Typ | Opis |
|---|---|---|
| defaultAction |
Definiuje domyślne zachowanie dla wszystkich typów połączeń w chmurze, które nie są jawnie wymienione w tablicy reguł. W przypadku ustawienia opcji "Zezwalaj" wszystkie nieokreślone typy połączeń są domyślnie dozwolone. W przypadku ustawienia opcji "Odmów" wszystkie nieokreślone typy połączeń są domyślnie blokowane, chyba że jawnie dozwolone. To ustawienie działa jako globalne zasady rezerwowe i ma kluczowe znaczenie dla wymuszania bezpiecznego stanu domyślnego w środowiskach, w których powinny być dozwolone tylko znane i zaufane połączenia. |
|
| rules |
Lista reguł definiujących zachowanie dostępu wychodzącego dla określonych typów połączeń w chmurze. Każda reguła może obejmować ograniczenia oparte na punkcie końcowym lub obszarze roboczym w zależności od obsługiwanych typów połączeń. |