Comment définir ou modifier des stratégies dans Gestion des API Azure

S’APPLIQUE À : Tous les niveaux de Gestion des API

Cet article explique comment configurer des stratégies dans votre instance Gestion des API en modifiant les définitions de stratégie dans le Portail Azure. Chaque définition de stratégie est un document XML qui décrit une séquence d’instructions entrantes et sortantes s’exécutant de manière séquentielle sur une requête et une réponse d’API.

L’éditeur de stratégie du portail fournit des formulaires guidés afin que les éditeurs d’API ajoutent et modifient les stratégies dans les définitions de stratégie. Vous pouvez également modifier le code XML directement dans l’éditeur de code de stratégie.

Plus d’informations sur les stratégies :

• Vue d’ensemble des stratégies
• Référence de stratégie pour obtenir la liste complète des déclarations de politique et de leurs paramètres
• Dépôt d'extraits de politique
• Ensemble de stratégies de gestion des API Azure
• Élaborer des politiques à l’aide d’Azure Copilot de Microsoft

Prérequis

Si vous ne disposez pas déjà d’une instance Gestion des API et d’une API back-end, consultez :

• Créer une instance du service Gestion des API Azure
• Importer et publier une API

Accéder à votre instance Gestion des API

1. Dans le portail Azure, recherchez et sélectionnez Services de gestion des API :

   

2. Sur la page des services de gestion des API, sélectionnez votre instance de gestion des API :

   

Configurer la stratégie dans le portail

L’exemple suivant montre comment configurer une stratégie à l’aide de deux options dans l’éditeur de stratégie du portail :

• Éditeur basé sur des formulaires guidés pour simplifier la configuration de nombreuses stratégies
• Éditeur de code dans lequel vous pouvez ajouter ou modifier directement du code XML

Dans cet exemple, la stratégie filtre les requêtes de certaines adresses IP entrantes. Elle est limitée à une API sélectionnée.

Remarque

Vous pouvez configurer des stratégies sur d’autres périmètres, telles que pour toutes les API, un produit ou une opération d’API unique. Consultez Configurer l’étendue, plus loin dans cet article, pour obtenir d’autres exemples.

Pour configurer une stratégie :

Forme

1. Dans le volet de navigation gauche de votre instance du service Gestion des API, sélectionnez API.

2. Sélectionnez une API précédemment importée.

3. Sélectionnez l’onglet Conception.

4. Pour appliquer la stratégie à toutes les opérations, sélectionnez Toutes les opérations.

5. Dans la section Traitement entrant, sélectionnez + Ajouter une stratégie.

   

6. Dans Ajouter une stratégie de trafic entrant, sélectionnez une stratégie à ajouter. Par exemple, sélectionnez Filtrer les adresses IP.

   

   Conseil

   • Les politiques affichées se limitent à la section de politique que vous configurez - dans ce cas, pour le traitement entrant.
   • Si vous ne voyez pas de stratégie souhaitée, sélectionnez la vignette Autres stratégies. Cette action ouvre l’éditeur de code XML et affiche une liste complète de stratégies pour cette section et cette étendue.

7. Sélectionnez Adresses IP autorisées>+ Ajouter un filtre IP et ajoutez les premières et dernières adresses IP d’une plage d’adresses entrantes autorisées à effectuer des requêtes d’API. Ajoutez d’autres plages d’adresses IP, si nécessaire.

   

8. Sélectionnez Enregistrer pour propager immédiatement les modifications apportées à la passerelle Gestion des API.

   La stratégie ip-filter s’affiche désormais dans la section Traitement entrant.

Code

1. Dans le volet de navigation gauche de votre instance du service Gestion des API, sélectionnez API.

2. Sélectionnez une API précédemment importée.

3. Sélectionnez l’onglet Conception.

4. Pour appliquer la stratégie à toutes les opérations, sélectionnez Toutes les opérations.

5. Dans la section Traitement entrant, sélectionnez l’icône </> (éditeur de code).

   

6. Pour afficher les extraits de code XML de stratégie disponibles, sélectionnez Afficher les extraits de code. Par exemple, sélectionnez Restreindre les adresses IP d’appelant.

   

7. Collez ou entrez l’extrait de code de stratégie souhaité dans l’un des blocs appropriés et terminez la configuration de la stratégie.

   <policies>
       <inbound>
           <base />
           <ip-filter action="allow">
               <address-range from="10.100.7.0" to="10.100.127.0" />
           </ip-filter>
       </inbound>
       <backend>
           <base />
       </backend>
       <outbound>
           <base />
       </outbound>
       <on-error>
           <base />
       </on-error>
   </policies>
   

   Remarque

   Définissez les éléments et les éléments enfants d’une stratégie dans l’ordre fourni dans l’instruction de stratégie.

8. Sélectionnez Enregistrer pour propager immédiatement les modifications apportées à la passerelle Gestion des API.

   La stratégie ip-filter s’affiche désormais dans la section Traitement entrant.

Configurer les stratégies sur différentes étendues

Le service Gestion des API vous permet de configurer des définitions de stratégie sur plusieurs niveaux, dans chacune des sections de stratégie.

Important

Toutes les stratégies ne peuvent pas être appliquées à chaque étendue ou section de stratégie. Si la stratégie que vous souhaitez ajouter n’est pas activée, vérifiez que vous vous trouvez dans une section ou une étendue de stratégie prise en charge pour cette stratégie. Pour consulter les sections et les étendues de stratégie d’une stratégie, consultez la section Utilisation dans les rubriques Référence de stratégie.

Remarque

La section de stratégie Back-end ne peut contenir qu’un seul élément de stratégie. Par défaut, le service Gestion des API configure la stratégie forward-request dans la section Back-end dans l’étendue globale, et l’élément base dans d’autres étendues.

Étendue globale

L’étendue globale est configurée pour toutes les API dans votre instance Gestion des API.

1. Dans le volet de navigation gauche de votre instance du service Gestion des API, sélectionnez API>Toutes les API.

2. Sélectionnez l’onglet Conception.

   

3. Dans une section de stratégie, sélectionnez + Ajouter une stratégie pour utiliser un éditeur de stratégie basé sur un formulaire, ou sélectionnez l’icône </> (éditeur de code) pour ajouter et modifier directement le code XML.

4. Sélectionnez Enregistrer pour propager immédiatement les modifications apportées à la passerelle Gestion des API.

Étendue produit

L’étendue du produit est configurée pour un produit sélectionné.

1. Dans le menu de gauche, sélectionnez Produits, puis sélectionnez un produit auquel vous souhaitez appliquer des stratégies.

2. Dans la fenêtre du produit, sélectionnez Stratégies.

   

3. Dans une section de stratégie, sélectionnez + Ajouter une stratégie pour utiliser un éditeur de stratégie basé sur un formulaire, ou sélectionnez l’icône </> (éditeur de code) pour ajouter et modifier directement le code XML.

4. Sélectionnez Enregistrer pour propager immédiatement les modifications apportées à la passerelle Gestion des API.

Étendue API

L’étendue de l’API est configurée pour toutes les opérations de l’API sélectionnée.

1. Dans le volet de navigation gauche de votre instance Gestion des API, sélectionnez API, puis sélectionnez l’API à laquelle vous souhaitez appliquer des stratégies.

2. Sélectionnez l’onglet Conception.

3. Sélectionnez Toutes les opérations.

   

4. Dans une section de stratégie, sélectionnez + Ajouter une stratégie pour utiliser un éditeur de stratégie basé sur un formulaire, ou sélectionnez l’icône </> (éditeur de code) pour ajouter et modifier directement le code XML.

5. Sélectionnez Enregistrer pour propager immédiatement les modifications apportées à la passerelle Gestion des API.

Étendue opération

L’étendue de l’opération est configurée pour une opération d’API sélectionnée.

1. Dans le volet de navigation gauche de votre instance du service Gestion des API, sélectionnez API.

2. Sélectionnez l’onglet Conception.

3. Sélectionnez l’opération à laquelle vous souhaitez appliquer des stratégies.

   

4. Dans une section de stratégie, sélectionnez + Ajouter une stratégie pour utiliser un éditeur de stratégie basé sur un formulaire, ou sélectionnez l’icône </> (éditeur de code) pour ajouter et modifier directement le code XML.

5. Sélectionnez Enregistrer pour propager immédiatement les modifications apportées à la passerelle Gestion des API.

Réutiliser les configurations de stratégie

Vous pouvez créer des fragments de stratégie réutilisables dans votre instance Gestion des API. Les fragments de stratégie sont des éléments XML contenant vos configurations d’une ou plusieurs stratégies. Les fragments de stratégie vous aident à configurer des stratégies de manière cohérente et à gérer les définitions de stratégie sans avoir à répéter ou à retyper du code XML.

Utilisez la stratégie include-fragment pour insérer un fragment de stratégie dans une définition de stratégie.

Utiliser l’élément base pour définir l’ordre d’évaluation de la stratégie

Si vous configurez des définitions de stratégie sur plusieurs étendues, plusieurs stratégies peuvent s’appliquer à une requête ou une réponse d’API. Selon l’ordre dans lequel les stratégies des différentes étendues sont appliquées, la transformation de la requête ou de la réponse peut différer.

Dans le service Gestion des API, déterminez l’ordre d’évaluation de la stratégie en positionnant l’élément base dans chaque section de la définition de stratégie sur chaque étendue. L’élément base hérite des stratégies configurées dans cette section à l’étendue plus large suivante (parente). L’élément base est inclus par défaut dans chaque section de stratégie.

Remarque

Pour afficher les stratégies effectives dans l’étendue actuelle, sélectionnez Calculer la stratégie effective dans l’éditeur de stratégie.

Pour modifier l’ordre d’évaluation de la stratégie à l’aide de l’éditeur de stratégie :

1. Commencez par la définition dans l’étendue la plus étroite que vous avez configurée ; le service Gestion des API l’appliquera en premier.

   Par exemple, lorsque vous utilisez des définitions de stratégie configurées dans l’étendue globale et dans l’étendue de l’API, commencez par la configuration au niveau de l’étendue de l’API.

2. Placez l’élément base dans une section pour déterminer où hériter de toutes les stratégies de la section correspondante dans l’étendue parente.

   Par exemple, dans une section inbound configurée dans l’étendue de l’API, placez un élément base pour contrôler où hériter des stratégies configurées dans la section inbound dans l’étendue globale. Dans l’exemple suivant, les stratégies héritées de l’étendue globale sont appliquées avant la stratégie ip-filter.

   <policies>
     <inbound>
         <base />
           <ip-filter action="allow">
               <address>10.100.7.1</address>
           </ip-filter>
     </inbound>
     [...]
   </policies>
   

   Remarque

   • Vous pouvez placer l’élément base avant ou après un élément de stratégie dans une section.
   • Si vous souhaitez empêcher l’héritage des stratégies de l’étendue parente, supprimez l’élément base. Dans la plupart des cas, cette action n’est pas recommandée. Toutefois, il peut être utile dans certaines situations, par exemple lorsque vous souhaitez appliquer différentes stratégies à une opération spécifique que celles configurées pour l’étendue de l’API (toutes les opérations).

3. Continuez à configurer l’élément base dans les définitions de stratégie à des étendues successivement plus larges.

   Une stratégie à portée globale n’a aucune portée parente et l’utilisation de l’élément base n’a aucun effet.

Obtenir de l’aide de Copilot

Vous pouvez obtenir de l'aide de Copilot basé sur l'IA pour créer et modifier vos définitions de stratégie de gestion des API. Vous pouvez utiliser Copilot pour créer et mettre à jour des stratégies qui correspondent à vos besoins spécifiques sans avoir à connaître la syntaxe XML. Vous pouvez également obtenir des explications sur les stratégies existantes. Et Copilot peut vous aider à traduire des stratégies que vous avez peut-être configurées dans d’autres solutions de gestion des API.

• Microsoft Copilot dans Azure fournit une assistance en matière de création de stratégies avec des invites en langage naturel dans le portail Azure. Vous pouvez créer des stratégies dans l’éditeur de stratégie Gestion des API et demander à Copilot d’expliquer les sections de stratégie.
• GitHub Copilot pour Azure dans Visual Studio Code fournit une assistance de création de stratégie dans Visual Studio Code, et vous pouvez utiliser l’extension Gestion des API Azure pour Visual Studio Code pour accélérer la configuration de la stratégie. Vous pouvez inviter Copilot Chat ou Copilot Edits avec le langage naturel pour créer et affiner les définitions de stratégie en place.

Exemple d'invite :

Generate a policy that adds an Authorization header to the request with a Bearer token.

Copilot est alimenté par l’IA, donc les surprises et les erreurs sont possibles. Pour plus d’informations, consultez les FAQ sur l’utilisation générale de Copilot.

Contenu connexe

Pour plus d’informations sur l’utilisation des stratégies, consultez :

• Tutoriel : Transformer et protéger votre API
• Référence de stratégie pour obtenir la liste complète des déclarations de politique et de leurs paramètres
• Expressions de stratégie
• Définir ou modifier des stratégies
• Réutiliser les configurations de stratégie
• Dépôt d'extraits de politique
• Dépôt de terrain de jeu de stratégie
• Ensemble de stratégies de gestion des API Azure
• Obtenez de l’aide de Copilot pour créer, expliquer et dépanner des politiques