Bloquear o uso do conector nos Aplicativos Lógicos do Azure
Aplica-se a: Aplicativos Lógicos do Azure (Consumo + Padrão)
Se sua organização não permitir a conexão a recursos restritos ou não aprovados usando seus conectores gerenciados nos Aplicativos Lógicos do Azure, você poderá bloquear a capacidade de criar e usar essas conexões em fluxos de trabalho de aplicativos lógicos. Com a Política do Azure, você pode definir e impor políticas que impeçam a criação ou o uso de conexões para conectores que você deseja bloquear. Por exemplo, por razões de segurança, poderá querer bloquear ligações a plataformas de redes sociais específicas ou a outros serviços e sistemas.
Este artigo mostra como configurar uma política que bloqueia conexões específicas usando o portal do Azure, mas você pode criar definições de política de outras maneiras. Por exemplo, você pode usar a API REST do Azure, o Azure PowerShell, a CLI do Azure e os modelos do Azure Resource Manager. Para obter mais informações, consulte Tutorial: Criar e gerenciar políticas para impor a conformidade.
Pré-requisitos
Uma conta e subscrição do Azure. Se você não tiver uma assinatura, crie uma conta gratuita do Azure.
A ID de referência para o conector que você deseja bloquear. Para obter mais informações, consulte Localizar a ID de referência do conector.
Localizar ID de referência do conector
Se você já tiver um aplicativo lógico com a conexão que deseja bloquear, siga as etapas para o portal do Azure. Caso contrário, siga estes passos:
Documento de referência do conector
Revise Conectores para Aplicativos Lógicos do Azure.
Localize a página de referência para o conector que você deseja bloquear.
Por exemplo, se você quiser bloquear o conector do Instagram, que foi preterido, vá para esta página:
https://learn.microsoft.com/connectors/instagram/
A partir do URL da página, copie e guarde o ID de referência do conector no final sem a barra (
/
), por exemplo,instagram
.Mais tarde, ao criar sua definição de política, você usa essa ID na instrução de condição da definição, por exemplo:
"like": "*managedApis/instagram"
Portal do Azure
No portal do Azure, localize e abra o fluxo de trabalho do aplicativo lógico.
No menu do aplicativo lógico, selecione uma das seguintes opções:
Aplicativo de lógica de consumo: em Ferramentas de desenvolvimento, selecione Conexões de API.
Aplicativo lógico padrão: em Fluxos de trabalho, selecione Conexões. No painel Conexões, selecione Conexões de API, se ainda não estiver selecionado.
No painel Conexões de API, selecione a conexão. Quando o painel de conexão abrir, no canto superior direito, selecione Visualização JSON.
Localize o
api
objeto, que contém uma propriedade e umid
valor que tem o seguinte formato:"id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"
O exemplo a seguir mostra a propriedade e o
id
valor de uma conexão do Instagram:"id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"
A partir do valor da
id
propriedade, copie e salve o ID de referência do conector no final, por exemplo,instagram
.Mais tarde, ao criar sua definição de política, você usa essa ID na instrução de condição da definição, por exemplo:
"like": "*managedApis/instagram"
Bloquear a criação de ligações
Para bloquear completamente a criação de uma conexão em um fluxo de trabalho de aplicativo lógico, siga estas etapas:
Na caixa de pesquisa do portal do Azure, insira política e selecione Política.
No menu Política, em Criação, selecione Definições. Na barra de ferramentas do painel Definições , selecione Definição de política.
No painel Definição de política , forneça as informações para sua definição de política, com base nas propriedades descritas no exemplo:
Property Necessário Valor Description Localização da definição Sim <Azure-subscrição-nome> A assinatura do Azure a ser usada para a definição de política 1. Para encontrar a sua subscrição, selecione o botão de reticências (...).
2. Na lista Subscrição, localize e selecione a sua subscrição.
3. Quando terminar, selecione Selecionar.Nome Sim <política-definição-nome> O nome a ser usado para a definição de política Descrição Não <política-definição-nome> Uma descrição para a definição da política Categoria Sim Aplicativos lógicos O nome de uma categoria existente ou nova categoria para a definição de política Imposição de políticas Sim Ativado Essa configuração especifica se a definição de política deve ser habilitada ou desabilitada quando você salva seu trabalho. Em REGRA DE POLÍTICA, a caixa de edição JSON é preenchida previamente com um modelo de definição de política. Substitua este modelo pela sua definição de política com base nas propriedades descritas na tabela abaixo e seguindo esta sintaxe:
{ "mode": "All", "policyRule": { "if": { "field": "Microsoft.Web/connections/api.id", "like": "*managedApis/{connector-name}" }, "then": { "effect": "deny" } }, "parameters": {} }
Property valor Description mode
All
O modo que determina os tipos de recursos que a política avalia. Este cenário define
mode
comoAll
, que aplica a política a grupos de recursos do Azure, assinaturas e todos os tipos de recursos.Para obter mais informações, consulte Policy definition structure - mode.
if
{condition-to-evaluate}
A condição que determina quando aplicar a regra de política Nesse cenário, o determina se o valor em
Microsoft.Web/connections/api.id
corresponde ao ,*managedApis/{connector-name}
que especifica um valor curinga{condition-to-evaluate}
api.id
(*).Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
field
Microsoft.Web/connections/api.id
O field
valor a comparar com a condiçãoNesse cenário, o
field
usa o alias,Microsoft.Web/connections/api.id
, para acessar o valor na propriedade connector,api.id
.like
*managedApis/{connector-name}
O operador lógico e o valor a ser usado para comparar o field
valorNesse cenário, o
like
operador e o caractere curinga (*) garantem que a regra funcione independentemente da região, e a cadeia de caracteres,*managedApis/{connector-name}
, é o valor a corresponder{connector-name}
onde é a ID do conector que você deseja bloquear.Por exemplo, suponha que você queira bloquear a criação de conexões com plataformas de mídia social ou bancos de dados:
- X:
x
- Instagram:instagram
- Facebook:facebook
- Pinterest:pinterest
- SQL Server ou Azure SQL:sql
Para localizar essas IDs de conector, consulte Localizar ID de referência do conector anteriormente neste tópico.
then
{effect-to-apply}
O efeito a aplicar quando a if
condição é satisfeitaNesse cenário, o
{effect-to-apply}
é bloquear e falhar uma solicitação ou operação que não está em conformidade com a política.Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
effect
deny
O effect
é para bloquear a solicitação, que é para criar a conexão especificadaPara obter mais informações, consulte Compreender os efeitos da Política do Azure - Negar.
Por exemplo, suponha que você queira bloquear a criação de conexões com o conector do Instagram. Aqui está a definição de política que você pode usar:
{ "mode": "All", "policyRule": { "if": { "field": "Microsoft.Web/connections/api.id", "like": "*managedApis/instagram" }, "then": { "effect": "deny" } }, "parameters": {} }
Eis a forma como a caixa REGRA DE POLÍTICA é apresentada:
Para vários conectores, você pode adicionar mais condições, por exemplo:
{ "mode": "All", "policyRule": { "if": { "anyOf": [ { "field": "Microsoft.Web/connections/api.id", "like": "*managedApis/instagram" }, { "field": "Microsoft.Web/connections/api.id", "like": "*managedApis/x" }, { "field": "Microsoft.Web/connections/api.id", "like": "*managedApis/facebook" }, { "field": "Microsoft.Web/connections/api.id", "like": "*managedApis/pinterest" } ] }, "then": { "effect": "deny" } }, "parameters": {} }
Quando tiver terminado, selecione Guardar. Depois de salvar a definição de política, a Política do Azure gera e adiciona mais valores de propriedade à definição de política.
Em seguida, para atribuir a definição de política onde você deseja impô-la, crie uma atribuição de política.
Para obter mais informações sobre definições de Política do Azure, consulte estes tópicos:
- Estrutura de definição do Azure Policy
- Tutorial: Criar e gerir políticas para impor a conformidade
- Definições de política internas da Política do Azure para Aplicativos Lógicos do Azure
Bloquear a associação de conexões com aplicativos lógicos
Quando você cria uma conexão em um fluxo de trabalho de aplicativo lógico, essa conexão existe como recurso separado do Azure. Se você excluir apenas o fluxo de trabalho do aplicativo lógico, o recurso de conexão não será excluído automaticamente e continuará a existir até ser excluído. Você pode ter um cenário em que o recurso de conexão já existe ou em que você precisa criar o recurso de conexão para uso fora do aplicativo lógico. Você ainda pode bloquear a capacidade de associar a conexão a um fluxo de trabalho de aplicativo lógico diferente criando uma política que impeça salvar fluxos de trabalho de aplicativos lógicos que tentam usar a conexão restrita ou não aprovada. Esta política afeta apenas fluxos de trabalho de aplicativos lógicos que ainda não usam a conexão.
Na caixa de pesquisa do portal do Azure, insira política e selecione Política.
No menu Política, em Criação, selecione Definições. Na barra de ferramentas do painel Definições , selecione Definição de política.
Em Definição de política, forneça as informações para sua definição de política, com base nas propriedades descritas no exemplo e continue usando o Instagram como exemplo:
Property Necessário Valor Description Localização da definição Sim <Azure-subscrição-nome> A assinatura do Azure a ser usada para a definição de política 1. Para encontrar a sua subscrição, selecione o botão de reticências (...).
2. Na lista Subscrição, localize e selecione a sua subscrição.
3. Quando terminar, selecione Selecionar.Nome Sim <política-definição-nome> O nome a ser usado para a definição de política Descrição Não <política-definição-nome> Uma descrição para a definição da política Categoria Sim Aplicativos lógicos O nome de uma categoria existente ou nova categoria para a definição de política Imposição de políticas Sim Ativado Essa configuração especifica se a definição de política deve ser habilitada ou desabilitada quando você salva seu trabalho. Em REGRA DE POLÍTICA, a caixa de edição JSON é preenchida previamente com um modelo de definição de política. Substitua este modelo pela sua definição de política com base nas propriedades descritas na tabela abaixo e seguindo esta sintaxe:
{ "mode": "All", "policyRule": { "if": { "value": "[string(field('Microsoft.Logic/workflows/parameters'))]", "contains": "{connector-name}" }, "then": { "effect": "deny" } }, "parameters": {} }
Property valor Description mode
All
O modo que determina os tipos de recursos que a política avalia. Este cenário define
mode
comoAll
, que aplica a política a grupos de recursos do Azure, assinaturas e todos os tipos de recursos.Para obter mais informações, consulte Policy definition structure - mode.
if
{condition-to-evaluate}
A condição que determina quando aplicar a regra de política Nesse cenário, o
{condition-to-evaluate}
determina se a saída da cadeia de caracteres de , contém a cadeia de[string(field('Microsoft.Logic/workflows/parameters'))]
caracteres,{connector-name}
.Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
value
[string(field('Microsoft.Logic/workflows/parameters'))]
O valor a comparar com a condição Nesse cenário, o é a
value
saída de cadeia de caracteres de , que converte o$connectors
objeto dentro doMicrosoft.Logic/workflows/parameters
objeto em uma cadeia de[string(field('Microsoft.Logic/workflows/parameters'))]
caracteres.contains
{connector-name}
O operador lógico e o valor a ser usado para comparar com a value
propriedadeNesse cenário, o
contains
operador garante que a regra funcione independentemente de onde{connector-name}
aparece, onde a cadeia de caracteres,{connector-name}
, é a ID do conector que você deseja restringir ou bloquear.Por exemplo, suponha que você queira bloquear o uso de conexões com plataformas de mídia social ou bancos de dados:
- X:
x
- Instagram:instagram
- Facebook:facebook
- Pinterest:pinterest
- SQL Server ou Azure SQL:sql
Para localizar essas IDs de conector, consulte Localizar ID de referência do conector anteriormente neste tópico.
then
{effect-to-apply}
O efeito a aplicar quando a if
condição é satisfeitaNesse cenário, o
{effect-to-apply}
é bloquear e falhar uma solicitação ou operação que não está em conformidade com a política.Para obter mais informações, consulte Estrutura de definição de política - Regra de política.
effect
deny
O effect
é paradeny
ou bloquear a solicitação para salvar um aplicativo lógico que usa a conexão especificadaPara obter mais informações, consulte Compreender os efeitos da Política do Azure - Negar.
Por exemplo, suponha que você queira bloquear o salvamento de aplicativos lógicos que usam conexões do Instagram. Aqui está a definição de política que você pode usar:
{ "mode": "All", "policyRule": { "if": { "value": "[string(field('Microsoft.Logic/workflows/parameters'))]", "contains": "instagram" }, "then": { "effect": "deny" } }, "parameters": {} }
Eis a forma como a caixa REGRA DE POLÍTICA é apresentada:
Quando tiver terminado, selecione Guardar. Depois de salvar a definição de política, a Política do Azure gera e adiciona mais valores de propriedade à definição de política.
Em seguida, para atribuir a definição de política onde você deseja impô-la, crie uma atribuição de política.
Para obter mais informações sobre definições de Política do Azure, consulte estes tópicos:
- Estrutura de definição do Azure Policy
- Tutorial: Criar e gerir políticas para impor a conformidade
- Definições de política internas da Política do Azure para Aplicativos Lógicos do Azure
Criar atribuição de política
Em seguida, você precisa atribuir a definição de política onde deseja impor a política, por exemplo, a um único grupo de recursos, vários grupos de recursos, locatário do Microsoft Entra ou assinatura do Azure. Para esta tarefa, siga estas etapas para criar uma atribuição de política:
No portal do Azure, caixa de pesquisa do portal, insira política e selecione Política.
No menu Política, em Criação, selecione Atribuições. Na barra de ferramentas do painel Atribuições , selecione Atribuir política.
No painel Atribuir política, em Noções básicas, forneça estas informações para a atribuição de política:
Property Necessário Description Scope Sim Os recursos em que você deseja impor a atribuição de política. 1. Ao lado da caixa Escopo , selecione o botão de reticências (...).
2. Na lista Subscrição , selecione a subscrição do Azure.
3. Opcionalmente, na lista Grupo de Recursos, selecione o grupo de recursos.
4. Quando terminar, selecione Selecionar.Exclusões Não Todos os recursos do Azure a serem excluídos da atribuição de política. 1. Ao lado da caixa Exclusões , selecione o botão de reticências (...).
2. Na lista Recurso, selecione o recurso >Adicionar ao Escopo Selecionado.
3. Quando terminar, selecione Guardar.Definição de política Sim O nome da definição de política que você deseja atribuir e impor. Este exemplo continua com o exemplo de política do Instagram, "Bloquear conexões do Instagram". 1. Ao lado da caixa Definição de política , selecione o botão de reticências (...).
2. Localize e selecione a definição de política usando o filtro Tipo ou a caixa Pesquisar.
3. Quando terminar, selecione Selecionar.Nome da atribuição Sim O nome a ser usado para a atribuição de política, se diferente da definição de política ID da atribuição Sim A ID gerada automaticamente para a atribuição de política Descrição Não Uma descrição para a atribuição de política Imposição de políticas Sim A configuração que habilita ou desabilita a atribuição de política Atribuído por Não O nome da pessoa que criou e aplicou a atribuição de política Por exemplo, para atribuir a política a um grupo de recursos do Azure usando o exemplo do Instagram:
Quando terminar, selecione Rever + criar.
Depois de criar uma política, talvez seja necessário aguardar até 15 minutos antes que ela entre em vigor. As alterações também podem ter efeitos retardados semelhantes.
Depois que a política entrar em vigor, você poderá testá-la.
Para obter mais informações, consulte Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis.
Testar a política
Para experimentar sua política, comece a criar uma conexão usando o conector agora restrito no designer de fluxo de trabalho. Continuando com o exemplo do Instagram, quando você entra no Instagram, recebe este erro informando que seu aplicativo lógico não conseguiu criar a conexão:
A mensagem inclui estas informações:
Description | Conteúdo |
---|---|
Motivo da falha | "Resource 'instagram' was disallowed by policy." |
Nome da atribuição | "Block Instagram connections" |
ID da atribuição | "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673" |
ID de definição de política | "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" |
Próximos passos
- Saiba mais sobre o Azure Policy