你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
标注策略
适用于:✅Azure 数据资源管理器
群集可以在许多不同的方案中与外部服务通信。 群集管理员可以通过更新群集的标注策略来管理外部调用的授权域。
标注支持的属性
标注策略由以下属性组成:
| 名字 | 类型 | 描述 |
|---|---|---|
| CalloutType | string |
定义标注的类型,可以是 标注类型中列出的类型之一。 |
| CalloutUriRegex | string |
指定正则表达式,其匹配项表示标注域的资源域。 |
| CanCall | bool |
标注是允许还是拒绝外部调用。 |
标注类型
标注策略在群集级别进行管理,分为以下类型:
| 标注策略类型 | 描述 |
|---|---|
| kusto | 控制跨群集查询。 |
| sql | 控制 SQL 插件。 |
| mysql | 控制 MySQL 插件。 |
| postgresql | 控制 PostgreSql 插件。 |
| azure_digital_twins | 控制 Azure 数字孪生插件。 |
| cosmosdb | 控制 Cosmos DB 插件。 |
| sandbox_artifacts | 控制沙盒插件(python 和 R)。 |
| external_data | 通过外部表 或 |
| webapi | 控制对 http 终结点的访问。 |
| ai_embed_text | 控制 ai_embed_text 插件)。 |
预定义标注策略
下表显示了群集上预配置的一组预定义标注策略,以启用对所选服务的标注:
| 服务 | 指定 | 允许的域 |
|---|---|---|
| Kusto | 跨群集查询 | [a-z0-9]{3,22}\\.(\\w+\\.)?kusto(mfa)?\\.windows\\.net/?$ |
| Kusto | 跨群集查询 | ^https://[a-z0-9]{3,22}\\.[a-z0-9-]{1,50}\\.(kusto\\.azuresynapse | kustodev\\.azuresynapse-dogfood)\\.net/?$ |
| Kusto | 跨群集查询 | ^https://([A-Za-z0-9]+\\.)?(ade | adx)\\.(int\\. | aimon\\.)?(applicationinsights | loganalytics | monitor)\\.(io | azure\\.com)/ |
| Azure DB | SQL 请求 | [a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$ |
| Synapse Analytics | SQL 请求 | [a-z0-9-]{0,61}?(-ondemand)?\\.sql\\.azuresynapse(-dogfood)?\\.net/?$ |
| 外部数据 | 外部数据 | .* |
| Azure 数字孪生 | Azure 数字孪生 | [A-Za-z0-9\\-]{3,63}\\.api\\.[A-Za-z0-9]+\\.digitaltwins\\.azure\\.net/?$ |
可以通过下一个查询观察群集上的更多预定义策略:
.show cluster policy callout
| where EntityType == 'Cluster immutable policy'
| project Policy
言论
如果给定类型的外部资源与为此类类型定义的多个策略匹配,并且至少有一个匹配的策略将其 CanCall 属性设置为 false,则拒绝访问资源。