吹き出しポリシー

適用対象: Azure Data Explorer

クラスターは、さまざまなシナリオで外部サービスと通信できます。クラスター管理者は、クラスターのコールアウトポリシーを更新することで、外部呼び出しの承認されたドメインを管理できます。

吹き出しのサポートされているプロパティ

吹き出しポリシーは、次のプロパティで構成されます。

名前	種類	形容
CalloutType	`string`	吹き出しの種類を定義し、吹き出しの種類に一覧表示される種類のいずれかを指定できます。
CalloutUriRegex	`string`	吹き出しドメインのリソースのドメインを表す正規表現を指定します。
CanCall	`bool`	吹き出しが外部呼び出しを許可または拒否するかどうか。

コールアウトポリシーはクラスターレベルで管理され、次の種類に分類されます。

吹き出しポリシーの種類	形容
kusto	クラスター間クエリを制御します。
sql	SQL プラグインのを制御します。
mysql	mySQL プラグインを制御します。
postgresql	PostgreSql プラグインを制御します。
azure_digital_twins	Azure Digital Twins プラグインを制御します。
cosmosdb	Cosmos DB プラグインを制御します。
sandbox_artifacts	サンドボックスプラグイン (python と R) を制御します。
external_data	外部テーブルまたは外部データ演算子使用して、外部データへのアクセスを制御します。
webapi	http エンドポイントへのアクセスを制御します。
ai_embed_text	ai_embed_text プラグイン)を制御します。

次の表は、選択したサービスへの吹き出しを有効にするためにクラスターで事前構成されている定義済みの吹き出しポリシーのセットを示しています。

サービス	指定	許可されるドメイン
Kusto	クロスクラスタークエリ	`[a-z0-9]{3,22}\\.(\\w+\\.)?kusto(mfa)?\\.windows\\.net/?$`
Kusto	クロスクラスタークエリ	`^https://[a-z0-9]{3,22}\\.[a-z0-9-]{1,50}\\.(kusto\\.azuresynapse \| kustodev\\.azuresynapse-dogfood)\\.net/?$`
Kusto	クロスクラスタークエリ	`^https://([A-Za-z0-9]+\\.)?(ade \| adx)\\.(int\\. \| aimon\\.)?(applicationinsights \| loganalytics \| monitor)\\.(io \| azure\\.com)/`
Azure DB	SQL 要求	`[a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$`
Synapse Analytics	SQL 要求	`[a-z0-9-]{0,61}?(-ondemand)?\\.sql\\.azuresynapse(-dogfood)?\\.net/?$`
外部データ	外部データ	`.*`
Azure Digital Twins	Azure Digital Twins	`[A-Za-z0-9\\-]{3,63}\\.api\\.[A-Za-z0-9]+\\.digitaltwins\\.azure\\.net/?$`

次のクエリでは、クラスター上のより定義済みのポリシーが観察される場合があります。

.show cluster policy callout 
| where EntityType == 'Cluster immutable policy'
| project Policy

特定の種類の外部リソースが、そのような種類に対して定義されている複数のポリシーと一致し、一致するポリシーの少なくとも 1 つが CanCall プロパティを false に設定している場合、リソースへのアクセスは拒否されます。