问如何保护Azure Logic App http请求终结点

EN

请参阅https://docs.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app

限制传入IP地址除了共享访问签名之外，您可能希望限制仅从特定客户端调用逻辑应用程序。例如，如果你通过Azure API管理管理你的终结点，你可以限制逻辑应用程序仅在请求来自API管理实例IP地址时接受请求。

可以在逻辑应用程序设置中配置此设置：

在Azure门户中，打开要添加IP地址限制的逻辑应用程序单击设置下的访问控制配置菜单项指定触发器要接受的IP地址范围列表

有效的IP范围采用192.168.1.1/255格式。如果您希望逻辑应用程序仅作为嵌套逻辑应用程序触发，请选择“仅其他逻辑应用程序”选项。此选项将一个空数组写入资源，这意味着只有来自服务本身(父逻辑应用程序)的调用才能成功触发。

您可以将手动触发器端点放在Azure API Management后面，使用它的"Restrict caller IPs" policy应该可以帮助您完成所需的任务。

我可能错了，但所有应用程序服务(Web应用程序、逻辑应用程序、API应用程序)在默认情况下都是公共可访问的，并且在默认情况下，不会通过Azure资源配置(即逻辑应用程序上的设置)启用IP过滤。我能想到的启用此功能的选项有：

如果您有权访问逻辑应用程序，请使用元素将流量限制到特定的一组地址(参见MSDN

• Consider

1. Web.config资源和执行IP限制策略(参见Azure API Management Documentation)；我猜这可能不适用于逻辑应用程序，但无论如何都要包括它
2. 扩展到高级应用程序服务计划，将逻辑应用程序部署到应用程序服务环境，使您能够指定是否有用于负载平衡请求或内部负载平衡器(用于局域网和Azure之间的跨站点连接)的公共IP (VIP)；您还可以部署虚拟网络应用程序防火墙，允许您放置显式IP过滤器以及

不知道你的需求，我更倾向于选择3，因为有documentation supporting that scenario (至少对于网络，移动和应用程序接口应用程序--逻辑应用程序没有提到)。否则，如果您不能修改web.config以包含过滤器，并且不能将API Management实例放在逻辑应用程序的前面，我不确定您还有什么其他选择。

希望这对你有帮助，如果你找到了解决方案，我也会有兴趣学习的。