Megosztás a következőn keresztül:

Az összekötők használatának letiltása az Azure Logic Appsben

  • Cikk

A következőkre vonatkozik: Azure Logic Apps (Használat + Standard)

Ha a szervezet nem engedélyezi a korlátozott vagy nem jóváhagyott erőforrásokhoz való csatlakozást felügyelt összekötőkkel az Azure Logic Appsben, letilthatja a kapcsolatok létrehozását és használatát a logikaialkalmazás-munkafolyamatokban. Az Azure Policy használatával olyan szabályzatokat határozhat meg és kényszeríthet ki, amelyek megakadályozzák a letiltani kívánt összekötők kapcsolatainak létrehozását vagy használatát. Biztonsági okokból például érdemes lehet letiltani az adott közösségimédia-platformokkal vagy más szolgáltatásokkal és rendszerekkel létesített kapcsolatokat.

Ez a cikk bemutatja, hogyan állíthat be olyan szabályzatokat, amelyek blokkolják az egyes kapcsolatokat az Azure Portal használatával, de más módon is létrehozhat szabályzatdefiníciókat. Használhatja például az Azure REST API-t, az Azure PowerShellt, az Azure CLI-t és az Azure Resource Manager-sablonokat. További információ: Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez.

Előfeltételek

Összekötő referenciaazonosítója

Ha már rendelkezik olyan logikai alkalmazással, amelynek a kapcsolatát le szeretné tiltani, kövesse az Azure Portal lépéseit. Ellenkező esetben kövesse az alábbi lépéseket:

Összekötő referencia-dokumentuma

  1. Tekintse át az Azure Logic Apps összekötőit.

  2. Keresse meg a letiltani kívánt összekötő referenciaoldalát.

    Ha például le szeretné tiltani az elavult Instagram-összekötőt, nyissa meg ezt a lapot:

    https://learn.microsoft.com/connectors/instagram/

  3. A lap URL-címéből másolja ki és mentse az összekötő hivatkozásazonosítóját a végén a perjel (/például instagram: perjel) nélkül.

    Később, amikor létrehozza a szabályzatdefiníciót, ezt az azonosítót használja a definíció feltételutasításában, például:

    "like": "*managedApis/instagram"

Azure Portal

  1. Az Azure Portalon keresse meg és nyissa meg a logikai alkalmazás munkafolyamatát.

  2. A logikai alkalmazás menüjében válassza az alábbi lehetőségek egyikét:

    • Használati logikai alkalmazás: A Fejlesztői eszközök területen válassza ki az API-kapcsolatokat.

    • Standard logikai alkalmazás: A Munkafolyamatok területen válassza a Kapcsolatok lehetőséget. A Kapcsolatok panelen válassza az API-kapcsolatok lehetőséget, ha még nincs kijelölve.

    1. Az API-kapcsolatok panelen válassza ki a kapcsolatot. Amikor megnyílik a kapcsolatpanel, a jobb felső sarokban válassza a JSON Nézet lehetőséget.

    2. Keresse meg a api következő formátumú tulajdonságot és értéket tartalmazó id objektumot:

      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

      Az alábbi példa egy Instagram-kapcsolat tulajdonságát id és értékét mutatja be:

      "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

    3. id A tulajdonságértékből másolja ki és mentse az összekötő hivatkozásazonosítóját a végén, példáulinstagram: .

      Később, amikor létrehozza a szabályzatdefiníciót, ezt az azonosítót használja a definíció feltételutasításában, például:

      "like": "*managedApis/instagram"

Kapcsolatok létrehozásának letiltása

Ha a logikai alkalmazás munkafolyamatában teljes mértékben szeretné letiltani a kapcsolat létrehozását, kövesse az alábbi lépéseket:

  1. Az Azure Portal keresőmezőjében adja meg a szabályzatot, és válassza a Szabályzat lehetőséget.

    Képernyőkép az Azure Portal fő keresőmezőjével, amelyen a

  2. A Szabályzat menü Létrehozás területén válassza a Definíciók lehetőséget. A Definíciók panel eszköztárán válassza a Szabályzatdefiníció lehetőséget.

    Képernyőkép a

  3. A Szabályzatdefiníció panelen adja meg a szabályzatdefiníció adatait a példában ismertetett tulajdonságok alapján:

    Képernyőkép a szabályzatdefiníció tulajdonságairól.

    Tulajdonság Kötelező Érték Leírás
    Definíció helye Igen < Azure-előfizetés-neve> A szabályzatdefinícióhoz használni kívánt Azure-előfizetés

    1. Az előfizetés megkereséséhez válassza a három pont (...) gombot.
    2. Az Előfizetések listában keresse meg és válassza ki az előfizetést.
    3. Ha végzett, válassza a Kiválasztás lehetőséget.
    Név Igen < policy-definition-name> A szabályzatdefinícióhoz használandó név
    Leírás Nem < policy-definition-name> A szabályzatdefiníció leírása
    Kategória Igen Logikai alkalmazások Meglévő kategória vagy új kategória neve a szabályzatdefinícióhoz
    Szabályzatbetartatás Igen Engedélyezve Ez a beállítás azt határozza meg, hogy engedélyezi vagy letiltja-e a szabályzatdefiníciót a munka mentésekor.

  4. A POLICY RULE alatt a JSON-szerkesztőmező előre feltöltve van egy szabályzatdefiníciós sablonnal. Cserélje le ezt a sablont a szabályzatdefinícióra az alábbi táblázatban ismertetett tulajdonságok alapján, és kövesse az alábbi szintaxist:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Tulajdonság Érték Leírás
    mode All A szabályzat által kiértékelt erőforrástípusokat meghatározó mód.

    Ez a forgatókönyv az modeAllAzure-erőforráscsoportokra, előfizetésekre és minden erőforrástípusra alkalmazza a szabályzatot.

    További információ: Szabályzatdefiníciós struktúra – mód.
    if {condition-to-evaluate} Az a feltétel, amely meghatározza, hogy mikor kell kikényszeríteni a szabályzatszabályt

    Ebben a forgatókönyvben a {condition-to-evaluate} függvény meghatározza, hogy a api.id találatok Microsoft.Web/connections/api.id*managedApis/{connector-name}értéke egy helyettesítő (*) értéket ad-e meg.

    További információ: Szabályzatdefiníciós struktúra – Szabályzatszabály.
    field Microsoft.Web/connections/api.id A field feltételhez viszonyítandó érték

    Ebben a forgatókönyvben az fieldaliast Microsoft.Web/connections/api.idhasználja az összekötő tulajdonság api.idértékének eléréséhez.
    like *managedApis/{connector-name} Az érték összehasonlításához field használandó logikai operátor és érték

    Ebben az esetben az like operátor és a helyettesítő karakter (*) egyaránt gondoskodik arról, hogy a szabály régiótól függetlenül működjön, és a sztring az az érték, *managedApis/{connector-name}amely {connector-name} megegyezik a blokkolni kívánt összekötő azonosítójával.

    Tegyük fel például, hogy le szeretné tiltani a közösségimédia-platformokhoz vagy adatbázisokhoz való kapcsolatok létrehozását:

    - X: x
    - Instagram: instagram
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server vagy Azure SQL: sql

    Az összekötő azonosítóinak megkereséséhez lásd a jelen témakör korábbi, összekötő-referencia-azonosítóját .
    then {effect-to-apply} A feltétel teljesülésekor if alkalmazandó hatás

    Ebben a forgatókönyvben egy {effect-to-apply} olyan kérés vagy művelet blokkolása és meghiúsulása, amely nem felel meg a szabályzatnak.

    További információ: Szabályzatdefiníciós struktúra – Szabályzatszabály.
    effect deny A effect kérés letiltása, azaz a megadott kapcsolat létrehozása

    További információ: Az Azure Policy hatásainak ismertetése – Megtagadás.

    Tegyük fel például, hogy le szeretné tiltani a kapcsolatok létrehozását az Instagram-összekötővel. A következő szabályzatdefiníció használható:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "field": "Microsoft.Web/connections/api.id",
         "like": "*managedApis/instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
}

    A HÁZIRENDSZABÁLY mező a következőképpen jelenik meg:

    Képernyőkép a

    Több összekötő esetén további feltételeket adhat hozzá, például:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "anyOf": [
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/instagram"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/x"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/facebook"
            },
            {
               "field": "Microsoft.Web/connections/api.id",
               "like": "*managedApis/pinterest"
            }
         ]
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

  5. Amikor elkészült, válassza a Mentés lehetőséget. A szabályzatdefiníció mentése után az Azure Policy további tulajdonságértékeket hoz létre és ad hozzá a szabályzatdefinícióhoz.

  6. Ezután hozzon létre egy szabályzat-hozzárendelést a szabályzatdefiníció hozzárendeléséhez, ahol a szabályzatot érvényesíteni szeretné.

Az Azure Policy-definíciókkal kapcsolatos további információkért tekintse meg az alábbi témaköröket:

Kapcsolatok logikai alkalmazásokkal való társításának letiltása

Amikor logikai alkalmazás munkafolyamatában hoz létre kapcsolatot, ez a kapcsolat különálló Azure-erőforrásként létezik. Ha csak a logikai alkalmazás munkafolyamatát törli, a kapcsolati erőforrás nem törlődik automatikusan, és a törlésig továbbra is létezik. Előfordulhat, hogy a kapcsolati erőforrás már létezik, vagy ha létre kell hoznia a kapcsolati erőforrást a logikai alkalmazáson kívüli használatra. Továbbra is letilthatja, hogy a kapcsolatot egy másik logikaialkalmazás-munkafolyamathoz társítsa egy olyan szabályzat létrehozásával, amely megakadályozza a korlátozott vagy nem jóváhagyott kapcsolatot használó logikaialkalmazás-munkafolyamatok mentését. Ez a szabályzat csak azokat a logikai alkalmazás-munkafolyamatokat érinti, amelyek még nem használják a kapcsolatot.

  1. Az Azure Portal keresőmezőjében adja meg a szabályzatot, és válassza a Szabályzat lehetőséget.

    Képernyőkép az Azure Portal keresőmezőről, amelyen a

  2. A Szabályzat menü Létrehozás területén válassza a Definíciók lehetőséget. A Definíciók panel eszköztárán válassza a Szabályzatdefiníció lehetőséget.

    Képernyőkép a

  3. A Szabályzatdefiníció csoportban adja meg a szabályzatdefiníció adatait a példában leírt tulajdonságok alapján, és használja az Instagramot példaként:

    Képernyőkép a szabályzatdefiníció tulajdonságairól.

    Tulajdonság Kötelező Érték Leírás
    Definíció helye Igen < Azure-előfizetés-neve> A szabályzatdefinícióhoz használni kívánt Azure-előfizetés

    1. Az előfizetés megkereséséhez válassza a három pont (...) gombot.
    2. Az Előfizetések listában keresse meg és válassza ki az előfizetést.
    3. Ha végzett, válassza a Kiválasztás lehetőséget.
    Név Igen < policy-definition-name> A szabályzatdefinícióhoz használandó név
    Leírás Nem < policy-definition-name> A szabályzatdefiníció leírása
    Kategória Igen Logikai alkalmazások Meglévő kategória vagy új kategória neve a szabályzatdefinícióhoz
    Szabályzatbetartatás Igen Engedélyezve Ez a beállítás azt határozza meg, hogy engedélyezi vagy letiltja-e a szabályzatdefiníciót a munka mentésekor.

  4. A POLICY RULE alatt a JSON-szerkesztőmező előre feltöltve van egy szabályzatdefiníciós sablonnal. Cserélje le ezt a sablont a szabályzatdefinícióra az alábbi táblázatban ismertetett tulajdonságok alapján, és kövesse az alábbi szintaxist:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "{connector-name}"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }
    Tulajdonság Érték Leírás
    mode All A szabályzat által kiértékelt erőforrástípusokat meghatározó mód.

    Ez a forgatókönyv az modeAllAzure-erőforráscsoportokra, előfizetésekre és minden erőforrástípusra alkalmazza a szabályzatot.

    További információ: Szabályzatdefiníciós struktúra – mód.
    if {condition-to-evaluate} Az a feltétel, amely meghatározza, hogy mikor kell kikényszeríteni a szabályzatszabályt

    Ebben a forgatókönyvben a {condition-to-evaluate} függvény meghatározza, hogy a sztring kimenete tartalmazza-e [string(field('Microsoft.Logic/workflows/parameters'))]a sztringet. {connector-name}

    További információ: Szabályzatdefiníciós struktúra – Szabályzatszabály.
    value [string(field('Microsoft.Logic/workflows/parameters'))] A feltételhez viszonyítandó érték

    Ebben a forgatókönyvben a value sztring kimenete [string(field('Microsoft.Logic/workflows/parameters'))], amely az $connectors objektumon belüli Microsoft.Logic/workflows/parameters objektumot sztringgé alakítja.
    contains {connector-name} A tulajdonsággal value való összehasonlításhoz használandó logikai operátor és érték

    Ebben a forgatókönyvben az contains operátor gondoskodik arról, hogy a szabály működjön függetlenül attól, hogy hol {connector-name} jelenik meg, {connector-name}ahol a sztring, a korlátozni vagy letiltani kívánt összekötő azonosítója.

    Tegyük fel például, hogy le szeretné tiltani a közösségimédia-platformokhoz vagy adatbázisokhoz való kapcsolatok használatát:

    - X: x
    - Instagram: instagram
    - Facebook: facebook
    - Pinterest: pinterest
    - SQL Server vagy Azure SQL: sql

    Az összekötő azonosítóinak megkereséséhez lásd a jelen témakör korábbi, összekötő-referencia-azonosítóját .
    then {effect-to-apply} A feltétel teljesülésekor if alkalmazandó hatás

    Ebben a forgatókönyvben egy {effect-to-apply} olyan kérés vagy művelet blokkolása és meghiúsulása, amely nem felel meg a szabályzatnak.

    További információ: Szabályzatdefiníciós struktúra – Szabályzatszabály.
    effect deny deny A effect megadott kapcsolatot használó logikai alkalmazás mentésére irányuló kérés letiltása vagy letiltása

    További információ: Az Azure Policy hatásainak ismertetése – Megtagadás.

    Tegyük fel például, hogy le szeretné tiltani az Instagram-kapcsolatokat használó logikai alkalmazások mentését. A következő szabályzatdefiníció használható:

    {
   "mode": "All",
   "policyRule": {
      "if": {
         "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
         "contains": "instagram"
      },
      "then": {
         "effect": "deny"
      }
   },
   "parameters": {}
 }

    A HÁZIRENDSZABÁLY mező a következőképpen jelenik meg:

    Képernyőkép a szabályzatdefiníciós szabályról.

  5. Amikor elkészült, válassza a Mentés lehetőséget. A szabályzatdefiníció mentése után az Azure Policy további tulajdonságértékeket hoz létre és ad hozzá a szabályzatdefinícióhoz.

  6. Ezután hozzon létre egy szabályzat-hozzárendelést a szabályzatdefiníció hozzárendeléséhez, ahol a szabályzatot érvényesíteni szeretné.

Az Azure Policy-definíciókkal kapcsolatos további információkért tekintse meg az alábbi témaköröket:

Szabályzat-hozzárendelés létrehozása

Ezután hozzá kell rendelnie a szabályzatdefiníciót, ahol a szabályzatot érvényesíteni szeretné, például egyetlen erőforráscsoporthoz, több erőforráscsoporthoz, Microsoft Entra-bérlőhöz vagy Azure-előfizetéshez. Ehhez a feladathoz kövesse az alábbi lépéseket egy szabályzat-hozzárendelés létrehozásához:

  1. Az Azure Portal portál keresőmezőjében írja be a szabályzatot, és válassza a Szabályzat lehetőséget.

    Képernyőkép az Azure Portal keresőmezőről, amelyen a

  2. A Szabályzat menü Szerzői műveletek területén válassza a Hozzárendelések lehetőséget. A Hozzárendelések panel eszköztárán válassza a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép a

  3. A Szabályzat hozzárendelése panel Alapszintű beállítások csoportjában adja meg ezt az információt a szabályzat-hozzárendeléshez:

    Tulajdonság Kötelező Leírás
    Hatókör Igen Azok az erőforrások, amelyekben a szabályzat-hozzárendelést kikényszeríteni szeretné.

    1. A Hatókör mező mellett válassza a három pont (...) gombot.
    2. Az Előfizetések listából válassza ki az Azure-előfizetést.
    3. Az Erőforráscsoport listából válassza ki az erőforráscsoportot.
    4. Ha végzett, válassza a Kiválasztás lehetőséget.
    Kizárások Nem A szabályzat-hozzárendelésből kizárandó Azure-erőforrások.

    1. A Kizárások mező mellett válassza a három pont (...) gombot.
    2. Az erőforráslistában válassza ki az Erőforrás> hozzáadása a kijelölt hatókörhöz lehetőséget.
    3. Ha végzett, válassza a Mentés lehetőséget.
    Szabályzatdefiníció Igen A hozzárendelni és kikényszeríteni kívánt szabályzatdefiníció neve. Ez a példa az "Instagram-kapcsolatok blokkolása" című Instagram-szabályzattal folytatódik.

    1. A Szabályzatdefiníció mező mellett válassza a három pont (...) gombot.
    2. Keresse meg és válassza ki a szabályzatdefiníciót a Típusszűrő vagy a Keresés mező használatával.
    3. Ha végzett, válassza a Kiválasztás lehetőséget.
    Hozzárendelés neve Igen A szabályzat-hozzárendeléshez használandó név, ha eltér a szabályzatdefiníciótól
    Hozzárendelés azonosítója Igen A szabályzat-hozzárendelés automatikusan létrehozott azonosítója
    Leírás Nem A szabályzat-hozzárendelés leírása
    Szabályzatbetartatás Igen A házirend-hozzárendelést engedélyező vagy letiltó beállítás
    Hozzárendelte Nem Annak a személynek a neve, aki létrehozta és alkalmazta a szabályzat-hozzárendelést

    Ha például egy Azure-erőforráscsoporthoz szeretné hozzárendelni a szabályzatot az Instagram-példával:

    Képernyőkép a szabályzat-hozzárendelés tulajdonságairól.

  4. Ha elkészült, válassza a Véleményezés + létrehozás lehetőséget.

    Előfordulhat, hogy a szabályzat létrehozása után akár 15 percet is várnia kell a szabályzat érvénybe lépése előtt. A módosítások hasonló késleltetett hatásokkal is járhatnak.

  5. A szabályzat érvénybe lépése után tesztelheti a szabályzatot.

További információ : Rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.

A szabályzat tesztelése

A szabályzat kipróbálásához kezdjen el kapcsolatot létrehozni a munkafolyamat-tervező most már korlátozott összekötőjével. Az Instagram-példával folytatva, amikor bejelentkezik az Instagramba, a következő hibaüzenet jelenik meg, hogy a logikai alkalmazás nem tudta létrehozni a kapcsolatot:

Képernyőkép az alkalmazott szabályzat miatt fellépő kapcsolati hibáról.

Az üzenet a következő információkat tartalmazza:

Leírás Tartalom
A hiba oka "Resource 'instagram' was disallowed by policy."
Hozzárendelés neve "Block Instagram connections"
Hozzárendelés azonosítója "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
Szabályzatdefiníció azonosítója "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"

Következő lépések