Workspaces - Set Outbound Cloud Connection Rules
设置工作区的出站访问保护云连接规则。 此 API 使工作区管理员能够设置出站网络通信规则,这些规则控制允许从工作区访问哪些云连接类型及其外部终结点/工作区。 此功能目前处于预览状态。
注释
此 API 是预览版的一部分,仅用于评估和开发目的。 它可能会根据反馈进行更改,不建议将其用于生产。
注释
仅当工作区的网络通信策略将 outbound.publicAccessRules.defaultAction 设置为 Deny 时,才会强制实施出站访问保护规则。 如果未在工作区上启用 OAP,则 API 会失败,因为出站连接不受限制。
注释
此 API 使用 PUT 方法,并将覆盖工作区的所有出站访问连接。 如果请求正文中提供了部分策略,则剩余策略将设置为默认值。 始终先运行 Get,并在请求正文中提供完整策略。
Permissions
调用方必须具有 管理员 工作区角色。
所需的委派范围
Workspace.ReadWrite.All
Microsoft Entra 支持的标识
此 API 支持本节中列出的Microsoft 标识。
| 身份 | Support |
|---|---|
| 用户 | 是的 |
| 服务主体和托管标识 | 是的 |
接口
PUT https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/networking/communicationPolicy/outbound/connectionsURI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
workspace
|
path | True |
string (uuid) |
要更新的工作区的唯一标识符。 |
请求正文
| 名称 | 类型 | 说明 |
|---|---|---|
| defaultAction |
定义规则数组中未显式列出的所有云连接类型的默认行为。 如果设置为“允许”,则默认允许所有未指定的连接类型。 如果设置为“拒绝”,则默认情况下会阻止所有未指定的连接类型,除非显式允许。 此设置充当全局回退策略,对于在仅允许已知和受信任的连接的环境中强制实施安全默认状态至关重要。 |
|
| rules |
定义特定云连接类型的出站访问行为的规则列表。 每个规则可能包含基于终结点的限制或基于工作区的限制,具体取决于受支持的连接类型。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
请求成功完成。 标头 ETag: string |
|
| Other Status Codes |
常见错误代码:
|
示例
Set workspace outbound access protection cloud connection rule for example
示例请求
PUT https://api.fabric.microsoft.com/v1/workspaces/47482db6-4583-4672-86dd-999d0f8f4d7a/networking/communicationPolicy/outbound/connections
{
"defaultAction": "Deny",
"rules": [
{
"connectionType": "SQL",
"defaultAction": "Deny",
"allowedEndpoints": [
{
"hostNamePattern": "*.microsoft.com"
}
]
},
{
"connectionType": "LakeHouse",
"defaultAction": "Deny",
"allowedWorkspaces": [
{
"workspaceId": "91c5ae74-e82d-4dd3-bfeb-6b1814030123"
}
]
},
{
"connectionType": "Web",
"defaultAction": "Allow"
}
]
}
示例响应
ETag: 0f8fad5b-d9cb-469f-a165-70867728950e定义
| 名称 | 说明 |
|---|---|
|
Connection |
定义出站连接的访问控制行为。 此枚举用于字段 defaultAction,以指定默认情况下是应允许还是拒绝出站通信。 此类型支持全局和特定于连接的出站访问控制,帮助强制实施安全且可预测的网络通信策略。 可能会随着时间的推移添加其他连接访问作类型。 |
|
Connection |
表示允许与特定外部域或主机进行出站通信的单个终结点级异常规则。 此对象用于连接规则的 allowedEndpoints 数组中,以显式授权对给定 connectionType 的受信任终结点的出站访问。 这仅适用于支持基于终结点的筛选的连接类型(例如 SQL、MySQL、Web 等)。 |
|
Connection |
表示允许与给定 connectionType 的特定工作区进行出站通信的工作区级别异常规则。 此对象在连接规则的 allowedWorkspaces 数组中用于显式授权跨工作区访问。 这仅适用于支持基于工作区的筛选的连接类型,例如 Lakehouse、Warehouse、FabricSql 和 PowerPlatformDataflows。 |
|
Error |
与错误相关的资源详细信息对象。 |
|
Error |
错误响应。 |
|
Error |
错误响应详细信息。 |
|
Outbound |
定义特定云连接的出站访问规则。 |
|
Workspace |
表示为工作区配置的一组完整的出站访问保护云连接规则,作为其网络通信策略的一部分。 此对象定义用于控制允许或拒绝哪些外部终结点和工作区进行出站通信的连接规则 |
ConnectionAccessActionType
定义出站连接的访问控制行为。 此枚举用于字段 defaultAction,以指定默认情况下是应允许还是拒绝出站通信。 此类型支持全局和特定于连接的出站访问控制,帮助强制实施安全且可预测的网络通信策略。 可能会随着时间的推移添加其他连接访问作类型。
| 值 | 说明 |
|---|---|
| Allow |
允许出站连接。 用作默认作时,允许所有云连接。 |
| Deny |
阻止出站连接。 用作默认作时,除非显式允许,否则所有云连接都会被拒绝。 |
ConnectionRuleEndpointMetadata
表示允许与特定外部域或主机进行出站通信的单个终结点级异常规则。 此对象用于连接规则的 allowedEndpoints 数组中,以显式授权对给定 connectionType 的受信任终结点的出站访问。 这仅适用于支持基于终结点的筛选的连接类型(例如 SQL、MySQL、Web 等)。
| 名称 | 类型 | 说明 |
|---|---|---|
| hostNamePattern |
string |
定义允许的外部终结点的通配符支持的模式。 示例包括 *.microsoft.com、api.contoso.com 或 data.partner.org。 |
ConnectionRuleWorkspaceMetadata
表示允许与给定 connectionType 的特定工作区进行出站通信的工作区级别异常规则。 此对象在连接规则的 allowedWorkspaces 数组中用于显式授权跨工作区访问。 这仅适用于支持基于工作区的筛选的连接类型,例如 Lakehouse、Warehouse、FabricSql 和 PowerPlatformDataflows。
| 名称 | 类型 | 说明 |
|---|---|---|
| workspaceId |
string (uuid) |
允许从当前工作区连接的目标工作区的唯一标识符(GUID)。 |
ErrorRelatedResource
与错误相关的资源详细信息对象。
| 名称 | 类型 | 说明 |
|---|---|---|
| resourceId |
string |
错误中涉及的资源 ID。 |
| resourceType |
string |
错误中涉及的资源的类型。 |
ErrorResponse
错误响应。
| 名称 | 类型 | 说明 |
|---|---|---|
| errorCode |
string |
提供有关错误条件的信息的特定标识符,允许服务与其用户之间的标准化通信。 |
| message |
string |
错误的人工可读表示形式。 |
| moreDetails |
其他错误详细信息的列表。 |
|
| relatedResource |
与错误相关的资源详细信息。 |
|
| requestId |
string |
与错误关联的请求的 ID。 |
ErrorResponseDetails
错误响应详细信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| errorCode |
string |
提供有关错误条件的信息的特定标识符,允许服务与其用户之间的标准化通信。 |
| message |
string |
错误的人工可读表示形式。 |
| relatedResource |
与错误相关的资源详细信息。 |
OutboundConnectionRule
定义特定云连接的出站访问规则。
| 名称 | 类型 | 说明 |
|---|---|---|
| allowedEndpoints |
定义 connectionType 显式允许的外部终结点的列表。 数组中的每个条目都表示允许从工作区进行出站通信的主机名模式。 此字段仅适用于支持基于终结点的筛选的连接类型(例如 SQL、MySQL、Web 等)。 如果将 defaultAction 设置为连接类型“拒绝”,则仅允许此处列出的终结点;将阻止所有其他项。 |
|
| allowedWorkspaces |
指定为给定构造 connectionType 显式允许进行出站通信的工作区 ID 列表。 此字段仅适用于支持基于工作区的筛选的构造连接类型,仅限于 Lakehouse、Warehouse、FabricSql 和 PowerPlatformDataflows。 将 defaultAction 设置为连接类型“拒绝”时,仅允许允许出站访问在 allowedWorkspaces 中列出的工作区;将阻止所有其他项。 |
|
| connectionType |
string |
指定规则应用到的云连接类型。 其他规则属性(如 allowedEndpoints 或 allowedWorkspaces)的行为和适用性可能会因连接类型的功能而异。 |
| defaultAction |
定义 connectionType 的默认出站访问行为。 此字段确定默认是否允许或阻止此类型的连接,除非允许的Endpoints 或 allowedWorkspaces 进一步优化。 如果设置为“允许”:除非更具体的规则显式拒绝,否则允许此类型的所有连接。 此字段提供对每个连接类型的精细控制,并补充默认定义的全局回退行为。 |
WorkspaceOutboundConnections
表示为工作区配置的一组完整的出站访问保护云连接规则,作为其网络通信策略的一部分。 此对象定义用于控制允许或拒绝哪些外部终结点和工作区进行出站通信的连接规则
| 名称 | 类型 | 说明 |
|---|---|---|
| defaultAction |
定义规则数组中未显式列出的所有云连接类型的默认行为。 如果设置为“允许”,则默认允许所有未指定的连接类型。 如果设置为“拒绝”,则默认情况下会阻止所有未指定的连接类型,除非显式允许。 此设置充当全局回退策略,对于在仅允许已知和受信任的连接的环境中强制实施安全默认状态至关重要。 |
|
| rules |
定义特定云连接类型的出站访问行为的规则列表。 每个规则可能包含基于终结点的限制或基于工作区的限制,具体取决于受支持的连接类型。 |