Partilhar via

Bloquear o uso do conector nos Aplicativos Lógicos do Azure

  • Artigo

Aplica-se a: Aplicativos Lógicos do Azure (Consumo + Padrão)

Se sua organização não permitir a conexão a recursos restritos ou não aprovados usando seus conectores gerenciados nos Aplicativos Lógicos do Azure, você poderá bloquear a capacidade de criar e usar essas conexões em fluxos de trabalho de aplicativos lógicos . Com a Política do Azure, você pode definir e impor políticas que impeçam a criação ou o uso de conexões para conectores que você deseja bloquear. Por exemplo, por razões de segurança, poderá querer bloquear ligações a plataformas de redes sociais específicas ou a outros serviços e sistemas.

Este artigo mostra como configurar uma política que bloqueia conexões específicas usando o portal do Azure, mas você pode criar definições de política de outras maneiras. Por exemplo, você pode usar a API REST do Azure, o Azure PowerShell, a CLI do Azure e os modelos do Azure Resource Manager. Para obter mais informações, consulte Tutorial: Criar e gerenciar políticas para impor a conformidade.

Pré-requisitos

  • Uma conta e subscrição do Azure. Se você não tiver uma assinatura, crie uma conta gratuita do Azure.

  • A ID de referência para o conector que você deseja bloquear. Para obter mais informações, consulte Localizar a ID de referência do conector.

Localizar ID de referência do conector

Se você já tiver um aplicativo lógico com a conexão que deseja bloquear, siga as etapas para o portal do Azure. Caso contrário, siga estes passos:

Documento de referência do conector

  1. Revise Conectores para Aplicativos Lógicos do Azure.

  2. Localize a página de referência para o conector que você deseja bloquear.

    Por exemplo, se você quiser bloquear o conector do Instagram, que foi preterido, vá para esta página:

    https://learn.microsoft.com/connectors/instagram/

  3. A partir do URL da página, copie e guarde o ID de referência do conector no final sem a barra (/), por exemplo, instagram.

    Mais tarde, ao criar sua definição de política, você usa essa ID na instrução de condição da definição, por exemplo:

    "like": "*managedApis/instagram"

Portal do Azure

  1. No portal do Azure, localize e abra o fluxo de trabalho do aplicativo lógico.

  2. No menu do aplicativo lógico, selecione uma das seguintes opções:

    • Aplicativo de lógica de consumo: em Ferramentas de desenvolvimento, selecione Conexões de API.

    • Aplicativo lógico padrão: em Fluxos de trabalho, selecione Conexões. No painel Conexões, selecione Conexões de API, se ainda não estiver selecionado.

    1. No painel Conexões de API, selecione a conexão. Quando o painel de conexão abrir, no canto superior direito, selecione Visualização JSON.

    2. Localize o objeto, que contém uma propriedade e um id valor que tem o api seguinte formato:

      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

      O exemplo a seguir mostra a propriedade e o id valor de uma conexão do Instagram:

      "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

    3. A partir do valor da id propriedade, copie e salve o ID de referência do conector no final, por exemplo, instagram.

      Mais tarde, ao criar sua definição de política, você usa essa ID na instrução de condição da definição, por exemplo:

      "like": "*managedApis/instagram"

Bloquear a criação de ligações

Para bloquear completamente a criação de uma conexão em um fluxo de trabalho de aplicativo lógico, siga estas etapas:

  1. Na caixa de pesquisa do portal do Azure, insira política e selecione Política.

    Screenshot showing main Azure portal search box with

  2. No menu Política, em Criação, selecione Definições. Na barra de ferramentas do painel Definições , selecione Definição de política.

    Screenshot showing the

  3. No painel Definição de política, forneça as informações para sua definição de política , com base nas propriedades descritas no exemplo:

    Screenshot showing the policy definition properties.

    Property Necessário Valor Description
    Localização da definição Sim <Azure-subscrição-nome> A assinatura do Azure a ser usada para a definição de política

    1. Para encontrar a sua subscrição, selecione o botão de reticências (...).
    2. Na lista Subscrição, localize e selecione a sua subscrição.
    3. Quando terminar, selecione Selecionar.
    Nome Sim <política-definição-nome> O nome a ser usado para a definição de política
    Descrição Não <política-definição-nome> Uma descrição para a definição da política
    Categoria Sim Aplicativos lógicos O nome de uma categoria existente ou nova categoria para a definição de política
    Imposição de políticas Sim Ativado Essa configuração especifica se a definição de política deve ser habilitada ou desabilitada quando você salva seu trabalho.

  4. Em REGRA DE POLÍTICA, a caixa de edição JSON é preenchida previamente com um modelo de definição de política. Substitua este modelo pela sua definição de política com base nas propriedades descritas na tabela abaixo e seguindo esta sintaxe:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Property valor Description
    mode All O modo que determina os tipos de recursos que a política avalia.

    Este cenário define mode como All, que aplica a política a grupos de recursos do Azure, assinaturas e todos os tipos de recursos.

    Para obter mais informações, consulte Policy definition structure - mode.
    if {condition-to-evaluate} A condição que determina quando aplicar a regra de política

    Nesse cenário, o determina se o valor em Microsoft.Web/connections/api.id corresponde ao , *managedApis/{connector-name}que especifica um valor curinga {condition-to-evaluate} api.id (*).

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    field Microsoft.Web/connections/api.id O field valor a comparar com a condição

    Nesse cenário, o usa o alias, , para acessar o fieldvalor na propriedade connector, Microsoft.Web/connections/api.idapi.id.
    like *managedApis/{connector-name} O operador lógico e o valor a ser usado para comparar o field valor

    Nesse cenário, o operador e o caractere curinga (*) garantem que a regra funcione independentemente da região, e a cadeia de caracteres, , *managedApis/{connector-name}é o like valor a corresponder {connector-name} onde é a ID do conector que você deseja bloquear.

    Por exemplo, suponha que você queira bloquear a criação de conexões com plataformas de mídia social ou bancos de dados:

    - Twitter: twitter
    - Instagram: instagram
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server ou Azure SQL: sql

    Para localizar essas IDs de conector, consulte Localizar ID de referência do conector anteriormente neste tópico.
    then {effect-to-apply} O efeito a aplicar quando a if condição é satisfeita

    Nesse cenário, o {effect-to-apply} é bloquear e falhar uma solicitação ou operação que não está em conformidade com a política.

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    effect deny O effect é para bloquear a solicitação, que é para criar a conexão especificada

    Para obter mais informações, consulte Compreender os efeitos da Política do Azure - Negar.

    Por exemplo, suponha que você queira bloquear a criação de conexões com o conector do Instagram. Aqui está a definição de política que você pode usar:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    Eis a forma como a caixa REGRA DE POLÍTICA é apresentada:

    Screenshot showing the

    Para vários conectores, você pode adicionar mais condições, por exemplo:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/instagram"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/twitter"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Quando tiver terminado, selecione Guardar. Depois de salvar a definição de política, a Política do Azure gera e adiciona mais valores de propriedade à definição de política.

  6. Em seguida, para atribuir a definição de política onde você deseja impô-la, crie uma atribuição de política.

Para obter mais informações sobre definições de Política do Azure, consulte estes tópicos:

Bloquear a associação de conexões com aplicativos lógicos

Quando você cria uma conexão em um fluxo de trabalho de aplicativo lógico, essa conexão existe como recurso separado do Azure. Se você excluir apenas o fluxo de trabalho do aplicativo lógico, o recurso de conexão não será excluído automaticamente e continuará a existir até ser excluído. Você pode ter um cenário em que o recurso de conexão já existe ou em que você precisa criar o recurso de conexão para uso fora do aplicativo lógico. Você ainda pode bloquear a capacidade de associar a conexão a um fluxo de trabalho de aplicativo lógico diferente criando uma política que impeça salvar fluxos de trabalho de aplicativos lógicos que tentam usar a conexão restrita ou não aprovada. Esta política afeta apenas fluxos de trabalho de aplicativos lógicos que ainda não usam a conexão.

  1. Na caixa de pesquisa do portal do Azure, insira política e selecione Política.

    Screenshot showing the Azure portal search box with

  2. No menu Política, em Criação, selecione Definições. Na barra de ferramentas do painel Definições , selecione Definição de política.

    Screenshot showing

  3. Em Definição de política, forneça as informações para sua definição de política, com base nas propriedades descritas no exemplo e continue usando o Instagram como exemplo:

    Screenshot showing policy definition properties.

    Property Necessário Valor Description
    Localização da definição Sim <Azure-subscrição-nome> A assinatura do Azure a ser usada para a definição de política

    1. Para encontrar a sua subscrição, selecione o botão de reticências (...).
    2. Na lista Subscrição, localize e selecione a sua subscrição.
    3. Quando terminar, selecione Selecionar.
    Nome Sim <política-definição-nome> O nome a ser usado para a definição de política
    Descrição Não <política-definição-nome> Uma descrição para a definição da política
    Categoria Sim Aplicativos lógicos O nome de uma categoria existente ou nova categoria para a definição de política
    Imposição de políticas Sim Ativado Essa configuração especifica se a definição de política deve ser habilitada ou desabilitada quando você salva seu trabalho.

  4. Em REGRA DE POLÍTICA, a caixa de edição JSON é preenchida previamente com um modelo de definição de política. Substitua este modelo pela sua definição de política com base nas propriedades descritas na tabela abaixo e seguindo esta sintaxe:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Property valor Description
    mode All O modo que determina os tipos de recursos que a política avalia.

    Este cenário define mode como All, que aplica a política a grupos de recursos do Azure, assinaturas e todos os tipos de recursos.

    Para obter mais informações, consulte Policy definition structure - mode.
    if {condition-to-evaluate} A condição que determina quando aplicar a regra de política

    Nesse cenário, o {condition-to-evaluate} determina se a saída da cadeia de caracteres de , contém a cadeia de [string(field('Microsoft.Logic/workflows/parameters'))]caracteres, {connector-name}.

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    value [string(field('Microsoft.Logic/workflows/parameters'))] O valor a comparar com a condição

    Nesse cenário, o é a saída de cadeia de caracteres de , que converte o value $connectors objeto dentro do Microsoft.Logic/workflows/parameters objeto em uma cadeia de [string(field('Microsoft.Logic/workflows/parameters'))]caracteres.
    contains {connector-name} O operador lógico e o valor a ser usado para comparar com a value propriedade

    Nesse cenário, o contains operador garante que a regra funcione independentemente de onde aparece, onde {connector-name} a cadeia de caracteres, , {connector-name}é a ID do conector que você deseja restringir ou bloquear.

    Por exemplo, suponha que você queira bloquear o uso de conexões com plataformas de mídia social ou bancos de dados:

    - Twitter: twitter
    - Instagram: instagram
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server ou Azure SQL: sql

    Para localizar essas IDs de conector, consulte Localizar ID de referência do conector anteriormente neste tópico.
    then {effect-to-apply} O efeito a aplicar quando a if condição é satisfeita

    Nesse cenário, o {effect-to-apply} é bloquear e falhar uma solicitação ou operação que não está em conformidade com a política.

    Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
    effect deny O effect é para ou bloquear a solicitação para deny salvar um aplicativo lógico que usa a conexão especificada

    Para obter mais informações, consulte Compreender os efeitos da Política do Azure - Negar.

    Por exemplo, suponha que você queira bloquear o salvamento de aplicativos lógicos que usam conexões do Instagram. Aqui está a definição de política que você pode usar:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    Eis a forma como a caixa REGRA DE POLÍTICA é apresentada:

    Screenshot showing policy definition rule.

  5. Quando tiver terminado, selecione Guardar. Depois de salvar a definição de política, a Política do Azure gera e adiciona mais valores de propriedade à definição de política.

  6. Em seguida, para atribuir a definição de política onde você deseja impô-la, crie uma atribuição de política.

Para obter mais informações sobre definições de Política do Azure, consulte estes tópicos:

Criar atribuição de política

Em seguida, você precisa atribuir a definição de política onde deseja impor a política, por exemplo, a um único grupo de recursos, vários grupos de recursos, locatário do Microsoft Entra ou assinatura do Azure. Para esta tarefa, siga estas etapas para criar uma atribuição de política:

  1. No portal do Azure, caixa de pesquisa do portal, insira política e selecione Política.

    Screenshot showing Azure portal search box with

  2. No menu Política, em Criação, selecione Atribuições. Na barra de ferramentas do painel Atribuições , selecione Atribuir política.

    Screenshot showing

  3. No painel Atribuir política, em Noções básicas, forneça estas informações para a atribuição de política:

    Property Obrigatório Description
    Scope Sim Os recursos em que você deseja impor a atribuição de política.

    1. Ao lado da caixa Escopo , selecione o botão de reticências (...).
    2. Na lista Subscrição , selecione a subscrição do Azure.
    3. Opcionalmente, na lista Grupo de Recursos, selecione o grupo de recursos.
    4. Quando terminar, selecione Selecionar.
    Exclusões Não Todos os recursos do Azure a serem excluídos da atribuição de política.

    1. Ao lado da caixa Exclusões , selecione o botão de reticências (...).
    2. Na lista Recurso, selecione o recurso >Adicionar ao Escopo Selecionado.
    3. Quando terminar, selecione Guardar.
    Definição de política Sim O nome da definição de política que você deseja atribuir e impor. Este exemplo continua com o exemplo de política do Instagram, "Bloquear conexões do Instagram".

    1. Ao lado da caixa Definição de política , selecione o botão de reticências (...).
    2. Localize e selecione a definição de política usando o filtro Tipo ou a caixa Pesquisar.
    3. Quando terminar, selecione Selecionar.
    Nome da atribuição Sim O nome a ser usado para a atribuição de política, se diferente da definição de política
    ID da atribuição Sim A ID gerada automaticamente para a atribuição de política
    Descrição Não Uma descrição para a atribuição de política
    Imposição de políticas Sim A configuração que habilita ou desabilita a atribuição de política
    Atribuído por Não O nome da pessoa que criou e aplicou a atribuição de política

    Por exemplo, para atribuir a política a um grupo de recursos do Azure usando o exemplo do Instagram:

    Screenshot showing policy assignment properties.

  4. Quando terminar, selecione Rever + criar.

    Depois de criar uma política, talvez seja necessário aguardar até 15 minutos antes que ela entre em vigor. As alterações também podem ter efeitos retardados semelhantes.

  5. Depois que a política entrar em vigor, você poderá testá-la.

Para obter mais informações, consulte Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis.

Testar a política

Para experimentar sua política, comece a criar uma conexão usando o conector agora restrito no designer de fluxo de trabalho. Continuando com o exemplo do Instagram, quando você entra no Instagram, recebe este erro informando que seu aplicativo lógico não conseguiu criar a conexão:

Screenshot showing connection failure due to applied policy.

A mensagem inclui estas informações:

Description Conteúdo
Motivo da falha "Resource 'instagram' was disallowed by policy."
Nome da atribuição "Block Instagram connections"
ID da atribuição "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
ID de definição de política "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/b5ddcfec-1b24-4cac-a353-360846a59f24"

Próximos passos