Partilhar via

Bloquear o uso do conector nos Aplicativos Lógicos do Azure

Aplica-se a: Aplicativos Lógicos do Azure (Consumo + Padrão)

Se sua organização não permitir a conexão a recursos restritos ou não aprovados usando seus conectores gerenciados nos Aplicativos Lógicos do Azure, você poderá bloquear a capacidade de criar e usar essas conexões em fluxos de trabalho de aplicativos lógicos. Com a Política do Azure, você pode definir e impor políticas que impeçam a criação ou o uso de conexões para conectores que você deseja bloquear. Por exemplo, por razões de segurança, poderá querer bloquear ligações a plataformas de redes sociais específicas ou a outros serviços e sistemas.

Este guia mostra como configurar uma política que bloqueia conexões específicas usando o portal do Azure. Você também pode criar definições de política de outras maneiras. Por exemplo, você pode usar a API REST do Azure, o Azure PowerShell, a CLI do Azure ou os modelos do Azure Resource Manager. Para obter mais informações, consulte Criar e gerenciar políticas para impor a conformidade.

Pré-requisitos

  • Uma conta e subscrição do Azure. Se você não tiver uma assinatura, crie uma conta gratuita do Azure.

  • A ID de referência para o conector que você deseja bloquear. Este guia mostra como encontrar esse ID de referência.

Localizar ID de referência do conector

Se você já tiver um fluxo de trabalho de aplicativo lógico com a conexão que deseja bloquear, ignore esta seção. Caso contrário, siga estas etapas para localizar a ID de referência do conector:

Localizar o ID usando o documento de referência do conector

  1. Analise a lista de todos os conectores geridos das Aplicações Lógicas do Azure.

  2. Localize a página de referência para o conector que você deseja bloquear.

    Por exemplo, se pretender bloquear o conector do Gmail, aceda a esta página:

    https://learn.microsoft.com/connectors/gmail/

  3. A partir do URL da página, copie e guarde o ID de referência do conector no final sem a barra (/), por exemplo, gmail.

    Mais tarde, ao criar sua definição de política, você usa essa ID na instrução de condição da definição, por exemplo:

    "like": "*managedApis/gmail"

Localizar a ID usando o portal do Azure

  1. No portal do Azure, abra seu recurso de aplicativo lógico.

  2. Na barra lateral do recurso, selecione uma das seguintes opções:

    • Aplicativo de lógica de consumo: em Ferramentas de desenvolvimento, selecione Conexões de API.

    • Aplicativo lógico padrão: em Fluxos de trabalho, selecione Conexões. No painel Conexões, selecione Conexões de API, se ainda não estiver selecionado.

  3. Na página Conexões de API , selecione a conexão. Depois que a página de conexão for aberta, no canto superior direito, selecione Visualização JSON.

  4. Localize o api objeto, que contém uma propriedade e um id valor que tem o seguinte formato:

    "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

    O exemplo a seguir mostra a propriedade e o valor de uma conexão do id Gmail:

    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Web/locations/westus/managedApis/gmail"

  5. A partir do valor da propriedade id, copie e guarde o ID de referência do conector, que aparece no final da propriedade, por exemplo, gmail.

    Mais tarde, ao criar sua definição de política, você usa essa ID na instrução de condição da definição, por exemplo:

    "like": "*managedApis/gmail"

Bloquear a criação de ligações

Para bloquear a criação de uma conexão em um fluxo de trabalho, siga estas etapas:

  1. Na caixa de pesquisa do portal do Azure, insira política e selecione Política.

    A captura de tela mostra a caixa de pesquisa do portal do Azure com a política inserida e a Política realçada.

  2. No menu Política, em Criação, selecione Definições. Na barra de ferramentas Definições , selecione Definição de política.

    A captura de tela mostra a página Definições com a definição de política realçada.

  3. Na página Definição de política , forneça as informações para sua definição de política, com base nas propriedades da tabela que se seguem à imagem:

    A captura de tela mostra os valores de definição de política para bloquear o Gmail.

    Parâmetro Necessário Valor Description
    Localização da definição Sim < Azure-subscrição-nome> A assinatura do Azure a ser usada para a definição de política

    1. Para encontrar a sua subscrição, selecione o ícone de reticências (...).
    2. Na lista Subscrição, localize e selecione a sua subscrição.
    3. Quando terminar, selecione Selecionar.
    Nome Sim < política-definição-nome> O nome a ser usado para a definição de política.
    Descrição Não < política-definição-nome> Uma descrição para a definição da política.
    Categoria Sim Aplicativos lógicos O nome de uma categoria existente ou nova categoria para a definição de política.

  4. Em Regra de política, a caixa de edição JSON é preenchida previamente com um modelo de definição de política. Substitua este modelo por sua definição de política com base nas propriedades descritas na tabela a seguir e usando esta sintaxe:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Keyword Valor Description
    mode All O modo que determina os tipos de recursos que a política avalia.

    Este cenário define mode como All, que aplica a política a grupos de recursos do Azure, assinaturas e todos os tipos de recursos.

    Para obter mais informações, consulte Policy definition structure - mode.
    if {condition-to-evaluate} A condição que determina quando aplicar a regra de política

    Nesse cenário, o determina se o valor em {condition-to-evaluate} corresponde ao , api.idque especifica um valor curinga Microsoft.Web/connections/api.id*managedApis/{connector-name} (*).

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    field Microsoft.Web/connections/api.id O field valor a comparar com a condição

    Nesse cenário, o field usa o alias, Microsoft.Web/connections/api.id, para acessar o valor na propriedade connector, api.id.
    like *managedApis/{connector-name} O operador lógico e o valor a ser usado para comparar o field valor

    Nesse cenário, o like operador e o caractere curinga (*) garantem que a regra funcione independentemente da região, e a cadeia de caracteres, *managedApis/{connector-name}, é o valor a corresponder {connector-name} onde é a ID do conector que você deseja bloquear.

    Por exemplo, suponha que você queira bloquear a criação de conexões com plataformas de mídia social ou bancos de dados:

    - X: x
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server ou Azure SQL: sql

    Para localizar essas IDs de conector, consulte Localizar ID de referência do conector anteriormente neste artigo.
    then {effect-to-apply} O efeito a aplicar quando a if condição é satisfeita

    Nesse cenário, o {effect-to-apply} é bloquear e falhar uma solicitação ou operação que não está em conformidade com a política.

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    effect deny O effect é para bloquear a solicitação, que é para criar a conexão especificada

    Para obter mais informações, consulte Compreender os efeitos da Política do Azure - Negar.

    Por exemplo, suponha que você queira bloquear a criação de conexões com o conector do Gmail. Aqui está a definição de política que você pode usar:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/gmail"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    Eis a forma como a caixa Regra de política é apresentada:

    A captura de tela mostra a caixa Regra de política com um exemplo de regra de política.

    Para vários conectores, você pode adicionar mais de uma condição, por exemplo:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/x"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Quando tiver terminado, selecione Guardar.

    Depois de salvar a definição de política, a Política do Azure gera e adiciona mais valores de propriedade à definição de política.

Para atribuir a definição de política onde você deseja impô-la, crie uma atribuição de política, conforme descrito mais adiante neste artigo.

Para obter mais informações sobre as definições de Política do Azure, consulte:

Bloquear a associação de conexões com aplicativos lógicos

Quando você cria uma conexão em um fluxo de trabalho, essa conexão existe como recurso separado do Azure. Se você excluir apenas o fluxo de trabalho ou o recurso do aplicativo lógico, o recurso de conexão não será excluído automaticamente e continuará a existir até ser excluído. Você pode ter um cenário em que o recurso de conexão já existe ou em que você precisa criar o recurso de conexão para uso fora do recurso de aplicativo lógico.

Você ainda pode bloquear a capacidade de associar a conexão a um recurso de aplicativo lógico diferente criando uma política que impede salvar fluxos de trabalho que tentam usar a conexão restrita ou não aprovada. Esta política afeta apenas fluxos de trabalho que ainda não usam a conexão.

  1. Na caixa de pesquisa do portal do Azure, insira política e selecione Política.

    A captura de tela mostra a caixa de pesquisa do portal do Azure com a política inserida e a Política realçada.

  2. No menu Política, em Criação, selecione Definições. Na barra de ferramentas da página Definições , selecione Definição de política.

    A captura de tela mostra a página Definições com a definição de política realçada.

  3. Em Definição de política, forneça as informações para sua definição de política, com base nas propriedades na tabela que segue a imagem.

    A captura de tela mostra os valores de definição de política para salvar conexões do Gmail.

    Parâmetro Necessário Valor Description
    Localização da definição Sim < Azure-subscrição-nome> A assinatura do Azure a ser usada para a definição de política

    1. Para encontrar a sua subscrição, selecione o botão de reticências (...).
    2. Na lista Subscrição, localize e selecione a sua subscrição.
    3. Quando terminar, selecione Selecionar.
    Nome Sim < política-definição-nome> O nome a ser usado para a definição de política
    Descrição Não < política-definição-nome> Uma descrição para a definição da política
    Categoria Sim Aplicativos lógicos O nome de uma categoria existente ou nova categoria para a definição de política

  4. Em Regra de política, a caixa de edição JSON é preenchida previamente com um modelo de definição de política. Substitua este modelo por sua definição de política com base nas propriedades descritas na tabela a seguir e usando esta sintaxe:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Keyword Valor Description
    mode All O modo que determina os tipos de recursos que a política avalia.

    Este cenário define mode como All, que aplica a política a grupos de recursos do Azure, assinaturas e todos os tipos de recursos.

    Para obter mais informações, consulte Policy definition structure - mode.
    if {condition-to-evaluate} A condição que determina quando aplicar a regra de política

    Nesse cenário, o {condition-to-evaluate} determina se a saída da cadeia de caracteres de , contém a cadeia de [string(field('Microsoft.Logic/workflows/parameters'))]caracteres, {connector-name}.

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    value [string(field('Microsoft.Logic/workflows/parameters'))] O valor a comparar com a condição

    Nesse cenário, o é a value saída de cadeia de caracteres de , que converte o [string(field('Microsoft.Logic/workflows/parameters'))] objeto dentro do $connectors objeto em uma cadeia de Microsoft.Logic/workflows/parameterscaracteres.
    contains {connector-name} O operador lógico e o valor a ser usado para comparar com a value propriedade

    Nesse cenário, o contains operador garante que a regra funcione independentemente de onde {connector-name} aparece, onde a cadeia de caracteres, {connector-name}, é a ID do conector que você deseja restringir ou bloquear.

    Por exemplo, suponha que você queira bloquear o uso de conexões com plataformas de mídia social ou bancos de dados:

    - X: x
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server ou Azure SQL: sql

    Para localizar essas IDs de conector, consulte Localizar ID de referência do conector anteriormente neste artigo.
    then {effect-to-apply} O efeito a aplicar quando a if condição é satisfeita

    Nesse cenário, o {effect-to-apply} é bloquear e falhar uma solicitação ou operação que não está em conformidade com a política.

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    effect deny O effect é para deny ou bloquear a solicitação para salvar um aplicativo lógico que usa a conexão especificada

    Para obter mais informações, consulte Compreender os efeitos da Política do Azure - Negar.

    Por exemplo, suponha que você queira bloquear o salvamento de aplicativos lógicos que usam conexões do Gmail. Aqui está a definição de política que você pode usar:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "gmail"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    Eis a forma como a regra de definição de política é apresentada:

    A captura de tela mostra uma regra de definição de política.

  5. Quando tiver terminado, selecione Guardar.

    Depois de salvar a definição de política, a Política do Azure gera e adiciona mais valores de propriedade à definição de política.

Para atribuir a definição de política onde você deseja impô-la, crie uma atribuição de política, conforme descrito mais adiante neste guia.

Para obter mais informações sobre as definições de Política do Azure, consulte:

Criar atribuição de política

Você precisa atribuir a definição de política onde deseja impô-la. Por exemplo, você pode atribuir a definição de política a um único grupo de recursos, vários grupos de recursos, um locatário do Microsoft Entra ou uma assinatura do Azure. Para esta tarefa, siga estas etapas para criar uma atribuição de política:

  1. Na caixa de pesquisa do portal do Azure, insira política e selecione Política.

    A captura de tela mostra a caixa de pesquisa do portal do Azure com a política inserida e a Política realçada.

  2. No menu Política, em Criação, selecione Atribuições. Na barra de ferramentas Atribuições , selecione Atribuir política.

    A captura de tela mostra a barra de ferramentas Atribuições com a política de atribuição realçada.

  3. Na página Atribuir política , em Noções básicas, forneça estas informações para a atribuição de política:

    Parâmetro Necessário Description
    Scope Sim Os recursos em que você deseja impor a atribuição de política.

    1. Ao lado da caixa Escopo , selecione o botão de reticências (...).
    2. Na lista Subscrição , selecione a subscrição do Azure.
    3. Opcionalmente, na lista Grupo de Recursos, selecione o grupo de recursos.
    4. Quando terminar, selecione Selecionar.
    Exclusões Não Todos os recursos do Azure a serem excluídos da atribuição de política.

    1. Ao lado da caixa Exclusões , selecione o botão de reticências (...).
    2. Na lista Recurso, selecione o recurso >.
    3. Quando terminar, selecione Guardar.
    Seletores de recursos Não
    Definição de política Sim O nome da definição de política que você deseja atribuir e impor. Este exemplo continua com o exemplo de política do Gmail, Bloquear conexões do Gmail.

    1. Ao lado da caixa Definição de política , selecione o botão de reticências (...).
    2. Localize e selecione a definição de política usando o filtro Tipo ou a caixa Pesquisar.
    3. Quando terminar, selecione Selecionar.
    Substituições Não
    Nome da atribuição Sim O nome a ser usado para a atribuição de política, se diferente da definição de política.
    Descrição Não Uma descrição para a atribuição de política.
    Imposição de políticas Sim A configuração que habilita ou desabilita a atribuição de política.

    Por exemplo, para atribuir a política a um grupo de recursos do Azure usando o exemplo do Gmail:

    A captura de tela mostra os valores de atribuição de política.

  4. Quando terminar, selecione Rever + criar.

    Depois de criar uma política, talvez seja necessário aguardar até 15 minutos antes que ela entre em vigor. As alterações também podem ter efeitos retardados semelhantes.

Depois que a política entrar em vigor, teste sua política na próxima seção.

Para obter mais informações, consulte Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis.

Testar a política

Para experimentar sua política, comece a criar uma conexão usando o conector agora restrito no designer de fluxo de trabalho. Continuando com o exemplo do Gmail, quando inicia sessão no Gmail, recebe um erro a indicar que o seu fluxo de trabalho não conseguiu criar a ligação.

A mensagem de erro inclui estas informações:

Description Conteúdo
Motivo da falha "Resource 'gmail' was disallowed by policy."
Nome da atribuição "Block Gmail connections"
ID da atribuição "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
ID de definição de política "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/policyDefinitions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Conteúdo relacionado

  • Last updated on