Memblokir penggunaan konektor di dalam Azure Logic Apps

Berlaku untuk: Azure Logic Apps (Konsumsi + Standar)

Jika organisasi Anda tidak mengizinkan menyambungkan ke sumber daya yang dibatasi atau yang tidak disetujui menggunakan konektor terkelola mereka di Azure Logic Apps, Anda dapat memblokir kapabilitas untuk membuat dan menggunakan koneksi tersebut dalam alur kerja aplikasi logika. Dengan Azure Policy, Anda dapat menentukan dan menegakkan kebijakan yang mencegah pembuatan atau penggunaan koneksi untuk konektor yang ingin Anda blokir. Contohnya, untuk alasan keamanan, Anda mungkin ingin memblokir koneksi ke platform media sosial tertentu atau layanan dan sistem lainnya.

Artikel ini menunjukkan cara menyiapkan kebijakan yang blok sambungan spesifik dengan menggunakan portal Azure, namun Anda dapat membuat definisi kebijakan dengan cara yang berbeda. Misalnya, Anda dapat menggunakan pola dasar Azure REST API, Azure PowerShell, Azure CLI, dan Azure Resource Manager. Untuk informasi lebih lanjut, lihat Tutorial: Membuat dan mengelola kebijakan untuk menegakkan kepatuhan.

Prasyarat

• Akun dan langganan Azure. Jika Anda tidak memiliki langganan, buat akun Azure gratis.

• ID referensi untuk konektor yang Anda ingin blokir. Untuk informasi selengkapnya, lihat Menemukan ID referensi konektor.

Menemukan ID referensi konektor

Jika Anda sudah memiliki aplikasi logika dengan koneksi yang ingin Anda blokir, ikuti langkah-langkah untuk portal Microsoft Azure. Jika tidak, ikutilah langkah-langkah berikut:

Dokumen referensi konektor

1. Tinjau Konektor untuk Azure Logic Apps.

2. Cari halaman referensi untuk konektor yang ingin Anda blokir.

   Contohnya, jika Anda ingin memblokir konektor Instagram, yang tidak digunakan lagi, buka halaman ini:

   https://learn.microsoft.com/connectors/instagram/

3. Dari URL halaman, salin dan simpan ID referensi konektor di akhir tanpa garis miring (/), misalnya, instagram.

   Lalu, ketika Anda membuat definisi kebijakan, Anda menggunakan ID ini dalam pernyataan kondisi definisi, misalnya:

   "like": "*managedApis/instagram"

Portal Azure

1. Di portal Microsoft Azure, cari dan buka alur kerja aplikasi logika Anda.

2. Di menu aplikasi logika, pilih salah satu opsi berikut:

   • Konsumsi aplikasi logika: Di bawah Alat Pengembangan, pilih koneksi API.

   • Standar aplikasi logika: Di bawah Alur Kerja, pilih Koneksi. Pada panel Koneksi, pilih Koneksi API jika belum dipilih.

   1. Pada panel koneksi API, pilih koneksi. Saat panel koneksi terbuka, di sudut kanan atas, pilih Tampilan JSON.

   2. Cari objek api, yang berisi properti id dan nilai yang memiliki format berikut:

      "id": "/subscriptions/{Azure-subscription-ID}/providers/Microsoft.Web/locations/{Azure-region}/managedApis/{connection-name}"

      Contoh berikut menunjukkan properti id dan nilai untuk koneksi Instagram:

      "id": "/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Web/locations/westus/managedApis/instagram"

   3. Dari id nilai properti, salin dan simpan ID referensi konektor di akhir, misalnya, instagram.

      Lalu, ketika Anda membuat definisi kebijakan, Anda menggunakan ID ini dalam pernyataan kondisi definisi, misalnya:

      "like": "*managedApis/instagram"

Memblokir pembuatan sambungan

Untuk memblokir seluruh pembuatan koneksi di alur kerja aplikasi logika, ikuti langkah-langkah berikut:

1. Dalam kotak pencarian portal Microsoft Azure, masukkan kebijakan dan pilih Kebijakan.

   

2. Pada menu Azure Policy, di bawah Penulisan, pilih Definisi. Pada toolbar panel Definisi, pilih Definisi kebijakan.

   

3. Dalam panel definisi Azure Policy, berikan informasi untuk definisi kebijakan Anda, berdasarkan properti yang dijelaskan pada contoh:

   

   Properti	Wajib	Nilai	Deskripsi
   Lokasi definisi	Ya	<Azure-subscription-name>	Langganan Azure yang akan digunakan untuk definisi kebijakan 1. Untuk menemukan langganan Anda, pilih tombol elipsis (...). 2. Dari daftar Langganan, temukan dan pilih langganan Anda. 3. Setelah selesai, pilih Pilih.
   Nama	Ya	<Kebijakan-definition-name>	Nama yang digunakan untuk definisi kebijakan
   Keterangan	No	<Kebijakan-definition-name>	Deskripsi untuk definisi kebijakan
   Golongan	Ya	Aplikasi Logika	Nama untuk kategori yang sudah ada atau kategori baru untuk definisi kebijakan
   Penerapan Azure Policy	Ya	Diaktifkan	Pengaturan ini menentukan apakah akan mengaktifkan atau menonaktifkan definisi kebijakan saat Anda menyimpan pekerjaan Anda.

4. Di bawah ATURAN KEBIJAKAN, kotak edit JSON telah diisi sebelumnya dengan templat definisi kebijakan. Ganti templat ini dengan definisi kebijakan Anda berdasarkan properti yang dijelaskan dalam tabel di bawah ini dan dengan mengikuti sintaks ini:

   {
      "mode": "All",
      "policyRule": {
         "if": {
            "field": "Microsoft.Web/connections/api.id",
            "like": "*managedApis/{connector-name}"
         },
         "then": {
            "effect": "deny"
         }
      },
      "parameters": {}
    }
   

   Properti	Nilai	Deskripsi
   mode	All	Mode yang menentukan jenis sumber daya yang dievaluasi kebijakan. Skenario ini mengatur mode ke All, yang menerapkan kebijakan ke grup sumber daya Azure, langganan, dan semua tipe sumber daya. Untuk informasi selengkapnya, lihat Struktur definisi Kebijakan - mode.
   if	{condition-to-evaluate}	Kondisi yang menentukan kapan harus menerapkan aturan kebijakan Dalam skenario ini, {condition-to-evaluate} menentukan apakah api.id nilai dalam Microsoft.Web/connections/api.id cocok pada *managedApis/{connector-name}, yang menentukan nilai wildcard (*). Untuk informasi selengkapnya, lihat Struktur definisi Kebijakan - aturan Kebijakan.
   field	Microsoft.Web/connections/api.id	Nilai field yang akan dibandingkan dengan kondisi Dalam skenario ini, field menggunakan alias, Microsoft.Web/connections/api.id, untuk mengakses nilai di properti konektor, api.id.
   like	*managedApis/{connector-name}	Operator logis dan nilai yang akan digunakan untuk membandingkan field nilai Dalam skenario ini, like operator dan karakter wildcard (*) memastikan bahwa aturan berlaku terlepas dari wilayah, dan string, *managedApis/{connector-name}, adalah nilai yang cocok dengan di mana {connector-name} adalah ID untuk konektor yang ingin Anda blokir. Misalnya, Anda ingin memblokir pembuatan koneksi ke platform atau database media sosial: - Twitter: twitter - Instagram: instagram - Facebook: facebook - Pinterest: pinterest - SQL Server atau Azure SQL Db: sql Untuk menemukan ID konektor ini, lihat Menemukan ID referensi konektor sebelumnya dalam topik ini.
   then	{effect-to-apply}	Efek yang akan diterapkan saat if kondisi terpenuhi Dalam skenario ini, {effect-to-apply} adalah untuk memblokir dan menggagalkan permintaan atau operasi yang tidak mematuhi kebijakan. Untuk informasi selengkapnya, lihat Struktur definisi Kebijakan - aturan Kebijakan.
   effect	deny	effect adalah untuk memblokir permintaan, yaitu membuat koneksi yang ditentukan Untuk informasi selengkapnya, lihat Memahami efek Azure Policy - Menyangkal.

   Contohnya, anggaplah Anda ingin memblokir pembuatan koneksi dengan konektor Instagram. Berikut ini adalah definisi kebijakan yang dapat Anda gunakan:

   {
      "mode": "All",
      "policyRule": {
         "if": {
            "field": "Microsoft.Web/connections/api.id",
            "like": "*managedApis/instagram"
         },
         "then": {
            "effect": "deny"
         }
      },
      "parameters": {}
   }
   

   Berikut adalah cara munculnya kotak ATURAN KEBIJAKAN:

   

   Untuk beberapa konektor, Anda bisa menambahkan lebih banyak kondisi, misalnya:

   {
      "mode": "All",
      "policyRule": {
         "if": {
            "anyOf": [
               {
                  "field": "Microsoft.Web/connections/api.id",
                  "like": "*managedApis/instagram"
               },
               {
                  "field": "Microsoft.Web/connections/api.id",
                  "like": "*managedApis/twitter"
               },
               {
                  "field": "Microsoft.Web/connections/api.id",
                  "like": "*managedApis/facebook"
               },
               {
                  "field": "Microsoft.Web/connections/api.id",
                  "like": "*managedApis/pinterest"
               }
            ]
         },
         "then": {
            "effect": "deny"
         }
      },
      "parameters": {}
    }
   

5. Jika sudah selesai, pilih Simpan. Setelah Anda menyimpan definisi kebijakan, Azure Policy menghasilkan dan menambahkan lebih banyak nilai properti ke definisi kebijakan.

6. Selanjutnya, untuk menetapkan definisi kebijakan di mana Anda ingin menegakkan kebijakannya, buat penugasan kebijakan.

Untuk informasi selengkapnya tentang definisi Azure Policy, lihat topik ini:

• Struktur definisi Azure Policy
• Tutorial: Membuat dan mengelola kebijakan untuk menerapkan kepatuhan
• Definisi kebijakan bawaan Azure Policy untuk Azure Logic Apps

Memblokir koneksi asosiasi dengan aplikasi logika

Saat Anda membuat koneksi di alur kerja aplikasi logika, koneksi tersebut ada sebagai sumber daya Azure yang terpisah. Jika Anda hanya menghapus alur kerja aplikasi logika, sumber daya koneksi tidak akan terhapus secara otomatis dan terus ada hingga terhapus. Anda mungkin mempunyai skenario di mana sumber daya koneksi sudah ada atau di mana Anda harus membuat sumber daya koneksi untuk digunakan di luar aplikasi logika. Anda masih dapat memblokir kemampuan untuk mengaitkan koneksi dengan alur kerja aplikasi logika yang berbeda dengan membuat kebijakan yang mencegah penyimpanan alur kerja aplikasi logika yang mencoba menggunakan koneksi yang terbatas atau tidak disetujui. Kebijakan ini hanya memengaruhi alur kerja aplikasi logika yang belum menggunakan koneksi.

1. Dalam kotak pencarian portal Microsoft Azure, masukkan kebijakan dan pilih Kebijakan.

   

2. Pada menu Azure Policy, di bawah Penulisan, pilih Definisi. Pada toolbar panel Definisi, pilih Definisi kebijakan.

   

3. Dalam definisi Kebijakan, berikan informasi untuk definisi kebijakan Anda, berdasarkan properti yang dijelaskan pada contoh dan lanjutkan dengan menggunakan Instagram sebagai contoh:

   

   Properti	Wajib	Nilai	Deskripsi
   Lokasi definisi	Ya	<Azure-subscription-name>	Langganan Azure yang akan digunakan untuk definisi kebijakan 1. Untuk menemukan langganan Anda, pilih tombol elipsis (...). 2. Dari daftar Langganan, temukan dan pilih langganan Anda. 3. Setelah selesai, pilih Pilih.
   Nama	Ya	<Kebijakan-definition-name>	Nama yang digunakan untuk definisi kebijakan
   Keterangan	No	<Kebijakan-definition-name>	Deskripsi untuk definisi kebijakan
   Golongan	Ya	Aplikasi Logika	Nama untuk kategori yang sudah ada atau kategori baru untuk definisi kebijakan
   Penerapan Azure Policy	Ya	Diaktifkan	Pengaturan ini menentukan apakah akan mengaktifkan atau menonaktifkan definisi kebijakan saat Anda menyimpan pekerjaan Anda.

4. Di bawah ATURAN KEBIJAKAN, kotak edit JSON telah diisi sebelumnya dengan templat definisi kebijakan. Ganti templat ini dengan definisi kebijakan Anda berdasarkan properti yang dijelaskan dalam tabel di bawah ini dan dengan mengikuti sintaks ini:

   {
      "mode": "All",
      "policyRule": {
         "if": {
            "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
            "contains": "{connector-name}"
         },
         "then": {
            "effect": "deny"
         }
      },
      "parameters": {}
    }
   

   Properti	Nilai	Deskripsi
   mode	All	Mode yang menentukan jenis sumber daya yang dievaluasi kebijakan. Skenario ini mengatur mode ke All, yang menerapkan kebijakan ke grup sumber daya Azure, langganan, dan semua tipe sumber daya. Untuk informasi selengkapnya, lihat Struktur definisi Kebijakan - mode.
   if	{condition-to-evaluate}	Kondisi yang menentukan kapan harus menerapkan aturan kebijakan Dalam skenario ini, {condition-to-evaluate} yang menentukan apakah output string dari [string(field('Microsoft.Logic/workflows/parameters'))], berisi string, {connector-name}. Untuk informasi selengkapnya, lihat Struktur definisi Kebijakan - aturan Kebijakan.
   value	[string(field('Microsoft.Logic/workflows/parameters'))]	Nilai yang akan dibandingkan dengan kondisi Dalam skenario ini, value adalah output string dari [string(field('Microsoft.Logic/workflows/parameters'))], yang mengkonversi objek $connectors di dalam objek Microsoft.Logic/workflows/parameters ke dalam string.
   contains	{connector-name}	Operator logis dan nilai yang digunakan untuk membandingkan dengan value properti Dalam skenario ini, contains operator memastikan bahwa aturan berlaku terlepas di mana {connector-name} muncul, di mana string-nya, {connector-name}, adalah ID untuk konektor yang ingin Anda batasi atau blokir. Misalnya, Anda ingin memblokir menggunakan koneksi ke platform atau database media sosial: - Twitter: twitter - Instagram: instagram - Facebook: facebook - Pinterest: pinterest - SQL Server atau Azure SQL Db: sql Untuk menemukan ID konektor ini, lihat Menemukan ID referensi konektor sebelumnya dalam topik ini.
   then	{effect-to-apply}	Efek yang akan diterapkan saat if kondisi terpenuhi Dalam skenario ini, {effect-to-apply} adalah untuk memblokir dan menggagalkan permintaan atau operasi yang tidak mematuhi kebijakan. Untuk informasi selengkapnya, lihat Struktur definisi Kebijakan - aturan Kebijakan.
   effect	deny	effect adalah untuk deny atau memblokir permintaan untuk menyimpan aplikasi logika yang menggunakan koneksi yang ditentukan Untuk informasi selengkapnya, lihat Memahami efek Azure Policy - Menyangkal.

   Misalnya, Anda ingin memblokir penyimpanan aplikasi logika yang menggunakan koneksi Instagram. Berikut ini adalah definisi kebijakan yang dapat Anda gunakan:

   {
      "mode": "All",
      "policyRule": {
         "if": {
            "value": "[string(field('Microsoft.Logic/workflows/parameters'))]",
            "contains": "instagram"
         },
         "then": {
            "effect": "deny"
         }
      },
      "parameters": {}
    }
   

   Berikut adalah cara munculnya kotak ATURAN KEBIJAKAN:

   

5. Jika sudah selesai, pilih Simpan. Setelah Anda menyimpan definisi kebijakan, Azure Policy menghasilkan dan menambahkan lebih banyak nilai properti ke definisi kebijakan.

6. Selanjutnya, untuk menetapkan definisi kebijakan di mana Anda ingin menegakkan kebijakannya, buat penugasan kebijakan.

Untuk informasi selengkapnya tentang definisi Azure Policy, lihat topik ini:

• Struktur definisi Azure Policy
• Tutorial: Membuat dan mengelola kebijakan untuk menerapkan kepatuhan
• Definisi kebijakan bawaan Azure Policy untuk Azure Logic Apps

Buat penetapan kebijakan

Selanjutnya, Anda perlu menetapkan definisi kebijakan tempat Anda ingin menerapkan kebijakan, misalnya, ke satu grup sumber daya, beberapa grup sumber daya, penyewa Microsoft Entra, atau langganan Azure. Untuk tugas ini, ikuti langkah-langkah berikut untuk membuat penetapan kebijakan:

1. Dalamportal Azure, kotak pencarian portal, masukkan kebijakan, dan pilih Azure Policy.

   

2. Pada menu Kebijakan, pada Penulisan,pilih Penugasan. Pada toolbar panel Penugasan, pilih Tetapkan kebijakan.

   

3. Pada panel Tetapkan kebijakan, pada Dasar, berikan informasi ini untuk penugasan kebijakan:

   Properti	Wajib	Deskripsi
   Cakupan	Ya	Sumber daya di mana Anda ingin memberlakukan penetapan kebijakan. 1. Di ssebelah kotak Cakupan, pilih tombol elipsis (...). 2. Dari daftar Langganan, pilih langganan Azure. 3. Secara opsional, dari daftar Grup Sumber Daya, pilih grup sumber daya. 4. Setelah selesai, pilih Pilih.
   Pengecualian	No	Pilih sumber daya secara opsional untuk dikecualikan dari penetapan kebijakan. 1. Di sebelah kotak Pengecualian, pilih tombol elipsis (...). 2. Dari daftar Sumber Daya, pilih sumber daya >Tambahkan ke Cakupan yang Dipilih. 3. Jika sudah selesai, pilih Simpan.
   Definisi Azure Policy	Ya	Nama untuk definisi kebijakan yang ingin Anda tetapkan dan berlakukan. Contoh ini berlanjut dengan contoh kebijakan Instagram, "Blokir koneksi Instagram". 1. Di samping kotak definisi Kebijakan, pilih tombol elipsis (...). 2. Temukan dan pilih definisi kebijakan dengan menggunakan kotak Ketik filter atau Cari. 3. Setelah selesai, pilih Pilih.
   Nama penugasan	Ya	Nama yang digunakan untuk penetapan kebijakan, jika berbeda dari definisi kebijakan
   ID penetapan	Ya	ID yang dibuat secara otomatis untuk penetapan kebijakan
   Keterangan	No	Deskripsi untuk penetapan kebijakan
   Penerapan Azure Policy	Ya	Pengaturan yang mengaktifkan atau menonaktifkan penetapan kebijakan
   Ditetapkan oleh	No	Nama untuk orang yang membuat dan menerapkan penetapan kebijakan

   Misalnya, untuk menetapkan kebijakan ke grup sumber daya Azure dengan menggunakan contoh Instagram:

   

4. Setelah selesai, pilih Tinjau + buat.

   Setelah membuat kebijakan, Anda mungkin harus menunggu sampai 15 menit sebelum kebijakan berlaku. Perubahan dapat juga memiliki efek tertunda yang serupa.

5. Setelah kebijakan berlaku, Anda dapat menguji kebijakan Anda.

Untuk informasi selengkapnya, lihat Mulai Cepat: Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak patuh.

Menguji kebijakan

Untuk mencoba kebijakan Anda, mulailah membuat koneksi dengan menggunakan konektor yang kini dibatasi di alur kerja perancang. Melanjutkan dengan contoh Instagram, saat Anda masuk ke Instagram, Anda mendapatkan kesalahan ini bahwa aplikasi logika Anda gagal membuat koneksi:

Pesan ini termasuk informasi ini:

Deskripsi	Konten
Alasan kegagalan	"Resource 'instagram' was disallowed by policy."
Nama penetapan	"Block Instagram connections"
ID penetapan	"/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/resourceGroups/MyLogicApp-RG/providers/Microsoft.Authorization/policyAssignments/4231890fc3bd4352acb0b673"
ID definisi Policy	"/subscriptions/xxxxxXXXXXxxxxxXXXXXxxxxxXXXXX/providers/Microsoft.Authorization/policyDefinitions/b5ddcfec-1b24-4cac-a353-360846a59f24"

Langkah berikutnya

• Pelajari lebih tentang Azure Policy