Workspaces - Set Outbound Cloud Connection Rules
Définit les règles de connexion cloud de protection d’accès sortant pour l’espace de travail. Cette API permet aux administrateurs d’espace de travail de définir des règles de communication réseau sortantes qui contrôlent les types de connexion cloud et leurs points de terminaison/espaces de travail externes, le cas échéant, doivent être autorisés à partir de l’espace de travail. Actuellement, cette fonctionnalité est uniquement disponible en tant que version préliminaire.
Note
Cette API fait partie d’une préversion et est fournie uniquement à des fins d’évaluation et de développement. Il peut changer en fonction des commentaires et n’est pas recommandé pour une utilisation en production.
Note
Les règles de protection d’accès sortant sont appliquées uniquement si la stratégie de communication réseau de l’espace de travail a la valeur Deny outbound.publicAccessRules.defaultAction. Si OAP n’est pas activé sur l’espace de travail, l’API échoue car les connexions sortantes ne sont pas limitées.
Note
Cette API utilise la méthode PUT et remplace toutes les connexions d’accès sortant pour l’espace de travail. La stratégie restante est définie sur la valeur par défaut si une stratégie partielle est fournie dans le corps de la requête. Exécutez toujours Get en premier et fournissez une stratégie complète dans le corps de la requête.
Permissions
L’appelant doit avoir un rôle d’espace de travail d’administrateur .
Étendues déléguées requises
Workspace.ReadWrite.All
Identités prises en charge par Microsoft Entra
Cette API prend en charge les identités Microsoft répertoriées dans cette section.
| Identité | Support |
|---|---|
| Utilisateur | Oui |
| Service principal et identités gérées | Oui |
Interface
PUT https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/networking/communicationPolicy/outbound/connectionsParamètres URI
| Nom | Dans | Obligatoire | Type | Description |
|---|---|---|---|---|
|
workspace
|
path | True |
string (uuid) |
Identificateur unique de l’espace de travail à mettre à jour. |
Corps de la demande
| Nom | Type | Description |
|---|---|---|
| defaultAction |
Définit le comportement par défaut pour tous les types de connexions cloud qui ne sont pas explicitement répertoriés dans le tableau de règles. Si la valeur est « Autoriser », tous les types de connexion non spécifiés sont autorisés par défaut. Si la valeur est « Deny », tous les types de connexion non spécifiés sont bloqués par défaut, sauf autorisation explicite. Ce paramètre agit comme une stratégie de secours globale et est essentiel pour appliquer une posture par défaut sécurisée dans les environnements où seules les connexions connues et approuvées doivent être autorisées. |
|
| rules |
Liste des règles qui définissent le comportement d’accès sortant pour des types de connexion cloud spécifiques. Chaque règle peut inclure des restrictions basées sur un point de terminaison ou basées sur un espace de travail en fonction des types de connexion pris en charge. |
Réponses
| Nom | Type | Description |
|---|---|---|
| 200 OK |
La demande s’est terminée avec succès. En-têtes ETag: string |
|
| Other Status Codes |
Codes d’erreur courants :
|
Exemples
Set workspace outbound access protection cloud connection rule for example
Exemple de requête
PUT https://api.fabric.microsoft.com/v1/workspaces/47482db6-4583-4672-86dd-999d0f8f4d7a/networking/communicationPolicy/outbound/connections
{
"defaultAction": "Deny",
"rules": [
{
"connectionType": "SQL",
"defaultAction": "Deny",
"allowedEndpoints": [
{
"hostNamePattern": "*.microsoft.com"
}
]
},
{
"connectionType": "LakeHouse",
"defaultAction": "Deny",
"allowedWorkspaces": [
{
"workspaceId": "91c5ae74-e82d-4dd3-bfeb-6b1814030123"
}
]
},
{
"connectionType": "Web",
"defaultAction": "Allow"
}
]
}
Exemple de réponse
ETag: 0f8fad5b-d9cb-469f-a165-70867728950eDéfinitions
| Nom | Description |
|---|---|
|
Connection |
Définit le comportement du contrôle d’accès pour les connexions sortantes. Cette énumération est utilisée pour le champ defaultAction pour spécifier si la communication sortante doit être autorisée ou refusée par défaut. Ce type permet à la fois un contrôle global et spécifique à la connexion sur l’accès sortant, ce qui permet d’appliquer des stratégies de communication réseau sécurisées et prévisibles. Des types d’actions d’accès aux connexions supplémentaires peuvent être ajoutés au fil du temps. |
|
Connection |
Représente une règle d’exception au niveau du point de terminaison unique qui autorise la communication sortante vers un domaine ou un hôte externe spécifique. Cet objet est utilisé dans le tableau allowedEndpoints d’une règle de connexion pour autoriser explicitement l’accès sortant aux points de terminaison approuvés pour un connectionType donné. Cela s’applique uniquement aux types de connexion qui prennent en charge le filtrage basé sur les points de terminaison (par exemple, SQL, MySQL, Web, etc.). |
|
Connection |
Représente une règle d’exception au niveau de l’espace de travail qui autorise la communication sortante vers un espace de travail spécifique pour un connectionType donné. Cet objet est utilisé dans le tableau allowedWorkspaces d’une règle de connexion pour autoriser explicitement l’accès entre espaces de travail. Cela s’applique uniquement aux types de connexion qui prennent en charge le filtrage basé sur l’espace de travail, tels que Lakehouse, Warehouse, FabricSql et PowerPlatformDataflows. |
|
Error |
Objet de détails de ressource associé à l’erreur. |
|
Error |
Réponse d’erreur. |
|
Error |
Détails de la réponse d’erreur. |
|
Outbound |
Définit une règle d’accès sortante pour une connexion cloud spécifique. |
|
Workspace |
Représente l’ensemble complet de règles de connexion cloud de protection d’accès sortant configurées pour un espace de travail dans le cadre de sa stratégie de communication réseau. Cet objet définit les règles de connexion qui régissent les points de terminaison externes et les espaces de travail autorisés ou refusés pour la communication sortante |
ConnectionAccessActionType
Définit le comportement du contrôle d’accès pour les connexions sortantes. Cette énumération est utilisée pour le champ defaultAction pour spécifier si la communication sortante doit être autorisée ou refusée par défaut. Ce type permet à la fois un contrôle global et spécifique à la connexion sur l’accès sortant, ce qui permet d’appliquer des stratégies de communication réseau sécurisées et prévisibles. Des types d’actions d’accès aux connexions supplémentaires peuvent être ajoutés au fil du temps.
| Valeur | Description |
|---|---|
| Allow |
Autorise les connexions sortantes. Lorsqu’elles sont utilisées comme action par défaut, toutes les connexions cloud sont autorisées. |
| Deny |
Bloque les connexions sortantes. Lorsqu’elles sont utilisées comme action par défaut, toutes les connexions cloud sont refusées, sauf si elles sont explicitement autorisées. |
ConnectionRuleEndpointMetadata
Représente une règle d’exception au niveau du point de terminaison unique qui autorise la communication sortante vers un domaine ou un hôte externe spécifique. Cet objet est utilisé dans le tableau allowedEndpoints d’une règle de connexion pour autoriser explicitement l’accès sortant aux points de terminaison approuvés pour un connectionType donné. Cela s’applique uniquement aux types de connexion qui prennent en charge le filtrage basé sur les points de terminaison (par exemple, SQL, MySQL, Web, etc.).
| Nom | Type | Description |
|---|---|---|
| hostNamePattern |
string |
Modèle pris en charge par caractères génériques qui définit le point de terminaison externe autorisé. Par exemple, *.microsoft.com, api.contoso.com ou data.partner.org. |
ConnectionRuleWorkspaceMetadata
Représente une règle d’exception au niveau de l’espace de travail qui autorise la communication sortante vers un espace de travail spécifique pour un connectionType donné. Cet objet est utilisé dans le tableau allowedWorkspaces d’une règle de connexion pour autoriser explicitement l’accès entre espaces de travail. Cela s’applique uniquement aux types de connexion qui prennent en charge le filtrage basé sur l’espace de travail, tels que Lakehouse, Warehouse, FabricSql et PowerPlatformDataflows.
| Nom | Type | Description |
|---|---|---|
| workspaceId |
string (uuid) |
Identificateur unique (GUID) de l’espace de travail cible autorisé à être connecté à partir de l’espace de travail actuel. |
ErrorRelatedResource
Objet de détails de ressource associé à l’erreur.
| Nom | Type | Description |
|---|---|---|
| resourceId |
string |
ID de ressource impliqué dans l’erreur. |
| resourceType |
string |
Type de la ressource impliquée dans l’erreur. |
ErrorResponse
Réponse d’erreur.
| Nom | Type | Description |
|---|---|---|
| errorCode |
string |
Identificateur spécifique qui fournit des informations sur une condition d’erreur, ce qui permet une communication standardisée entre notre service et ses utilisateurs. |
| message |
string |
Représentation lisible humaine de l’erreur. |
| moreDetails |
Liste des détails d’erreur supplémentaires. |
|
| relatedResource |
Détails de la ressource associée à l’erreur. |
|
| requestId |
string |
ID de la demande associée à l’erreur. |
ErrorResponseDetails
Détails de la réponse d’erreur.
| Nom | Type | Description |
|---|---|---|
| errorCode |
string |
Identificateur spécifique qui fournit des informations sur une condition d’erreur, ce qui permet une communication standardisée entre notre service et ses utilisateurs. |
| message |
string |
Représentation lisible humaine de l’erreur. |
| relatedResource |
Détails de la ressource associée à l’erreur. |
OutboundConnectionRule
Définit une règle d’accès sortante pour une connexion cloud spécifique.
| Nom | Type | Description |
|---|---|---|
| allowedEndpoints |
Définit une liste de points de terminaison externes explicitement autorisés pour connectionType. Chaque entrée du tableau représente un modèle de nom d’hôte autorisé pour la communication sortante à partir de l’espace de travail. Ce champ s’applique uniquement aux types de connexion qui prennent en charge le filtrage basé sur les points de terminaison (par exemple, SQL, MySQL, Web, etc.). Si defaultAction est défini sur « Refuser » pour le type de connexion, seuls les points de terminaison répertoriés ici sont autorisés ; tous les autres seront bloqués. |
|
| allowedWorkspaces |
Spécifie une liste d’ID d’espace de travail qui sont explicitement autorisés pour la communication sortante pour le connectionType d’infrastructure donné. Ce champ s’applique uniquement aux types de connexion de structure qui prennent en charge le filtrage basé sur l’espace de travail, limité à Lakehouse, Warehouse, FabricSql et PowerPlatformDataflows. Lorsque defaultAction est défini sur « Refuser » pour un type de connexion, seuls les espaces de travail répertoriés dans allowedWorkspaces sont autorisés pour l’accès sortant ; tous les autres seront bloqués. |
|
| connectionType |
string |
Spécifie le type de connexion cloud auquel la règle s’applique. Le comportement et l’applicabilité d’autres propriétés de règle (telles que allowedEndpoints ou allowedWorkspaces) peuvent varier en fonction des fonctionnalités du type de connexion. |
| defaultAction |
Définit le comportement d’accès sortant par défaut pour le connectionType. Ce champ détermine si les connexions de ce type sont autorisées ou bloquées par défaut, sauf si elles sont encore affinées par allowedEndpoints ou allowedWorkspaces. Si la valeur est « Autoriser » : toutes les connexions de ce type sont autorisées, sauf si elles sont explicitement refusées par une règle plus spécifique. Ce champ fournit un contrôle précis sur chaque type de connexion et complète le comportement global de secours défini par defaultAction. |
WorkspaceOutboundConnections
Représente l’ensemble complet de règles de connexion cloud de protection d’accès sortant configurées pour un espace de travail dans le cadre de sa stratégie de communication réseau. Cet objet définit les règles de connexion qui régissent les points de terminaison externes et les espaces de travail autorisés ou refusés pour la communication sortante
| Nom | Type | Description |
|---|---|---|
| defaultAction |
Définit le comportement par défaut pour tous les types de connexions cloud qui ne sont pas explicitement répertoriés dans le tableau de règles. Si la valeur est « Autoriser », tous les types de connexion non spécifiés sont autorisés par défaut. Si la valeur est « Deny », tous les types de connexion non spécifiés sont bloqués par défaut, sauf autorisation explicite. Ce paramètre agit comme une stratégie de secours globale et est essentiel pour appliquer une posture par défaut sécurisée dans les environnements où seules les connexions connues et approuvées doivent être autorisées. |
|
| rules |
Liste des règles qui définissent le comportement d’accès sortant pour des types de connexion cloud spécifiques. Chaque règle peut inclure des restrictions basées sur un point de terminaison ou basées sur un espace de travail en fonction des types de connexion pris en charge. |