インバウンドセキュリティグループルールを作成します。 作成したルールを使用して、他のデバイスからセキュリティグループ内のElastic Compute Service (ECS) インスタンスへのインバウンドトラフィックを許可または拒否できます。
説明
セキュリティグループ関連のAPIドキュメントでは、インバウンドトラフィックは、ソースデバイスによって送信され、宛先デバイスで受信されるトラフィックを指します。
この操作を呼び出すときは、次の項目に注意してください。
- 各セキュリティグループのアウトバウンドおよびインバウンドセキュリティグループルールの総数は200を超えることはできません。
- 優先度の有効な値は1から100の範囲です。 値が小さいほど、優先度が高くなります。
- 複数のセキュリティグループルールの優先度が同じ場合、ドロップルールが優先されます。
- ソースデバイスは、SourceCidrIp、Ipv6SourceCidrIp、またはSourcePrefixListIdで指定されたCIDRブロックに属するか、SourceGroupIdで指定されたセキュリティグループ内のECSインスタンスにすることができます。
- 作成するルールが既存のルールと一致する場合、AuthorizeSecurityGroup操作が呼び出された後、ルールは作成されません。
- 次のパラメータグループのいずれかを指定することで、セキュリティグループルールを決定できます。 1つのパラメーターのみを指定してセキュリティグループルールを決定することはできません。
- 特定のCIDRブロックからのアクセスを制御するインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange
(オプション) 、NicType、Policy、およびSourceCidrIp。 クラシックネットワークのセキュリティグループの場合、NicTypeパラメーターをインターネットまたはイントラネットに設定できます。
仮想プライベートクラウド (VPC) のセキュリティグループの場合、NicTypeパラメーターをイントラネットに設定する必要があります。
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup &SecurityGroupId=sg-F876FF7** &SourceCidrIp=10.0.0.0/8 &IpProtocol=tcp &PortRange=22/22 &NicType=intranet &ポリシー=受け入れる &<Common request parameters> - 別のセキュリティグループへのアクセスを制御するインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange
(オプション) 、NicType、Policy、SourceGroupOwnerAccount、およびSourceGroupId。 この場合、NicTypeパラメーターをイントラネットに設定する必要があります。
クラシックネットワーク内のセキュリティグループ間の相互アクセスの場合、同じリージョン内の別のセキュリティグループがセキュリティグループにアクセスすることを許可または拒否できます。
セキュリティグループへのアクセスを許可されているセキュリティグループは、独自のAlibaba CloudアカウントまたはSourceGroupOwnerAccountパラメーターで指定された別のAlibaba
Cloudアカウントに属することができます。 VPC内のセキュリティグループ間の相互アクセスの場合、同じVPC内の別のセキュリティグループがセキュリティグループにアクセスすることを許可または拒否できます。
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup &SecurityGroupId=sg-F876FF7** &SourceGroupId=sg-1651FBB** &SourceGroupOwnerAccount=test@aliyun.com &IpProtocol=tcp &PortRange=22/22 &NicType=intranet &ポリシー=ドロップ &<Common request parameters> - プレフィックスリストが参照されるインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange
(オプション) 、NicType、Policy、およびSourcePrefixListId。 この場合、プレフィックスリストはVPCのセキュリティグループのみをサポートします。
NicTypeはイントラネットに設定する必要があります。
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup &SecurityGroupId=sg-F876FF7** &SourcePrefixListId=pl-x1j1k5ykzqlixdcy **** &SourceGroupOwnerAccount=test@aliyun.com &IpProtocol=tcp &PortRange=22/22 &NicType=intranet &ポリシー=ドロップ &<Common request parameters>
- 特定のCIDRブロックからのアクセスを制御するインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange
(オプション) 、NicType、Policy、およびSourceCidrIp。 クラシックネットワークのセキュリティグループの場合、NicTypeパラメーターをインターネットまたはイントラネットに設定できます。
仮想プライベートクラウド (VPC) のセキュリティグループの場合、NicTypeパラメーターをイントラネットに設定する必要があります。
- セキュリティグループルールの設定例については、「異なるユースケースのセキュリティグループ」および「セキュリティグループ5組ルール」をご参照ください。
デバッグ
リクエストパラメーター
| パラメーター | データ型 | 必須/任意 | 例 | 説明 |
|---|---|---|---|---|
| 操作 | String | 必須 | AuthorizeSecurityGroup |
実行する操作です。 値をAuthorizeSecurityGroupに設定します。 |
| RegionId | String | 必須 | cn-hangzhou |
セキュリティグループのリージョン ID です。 DescribeRegions を呼び出して、最新のリージョンリストをクエリできます。 |
| SecurityGroupId | String | 必須 | sg-bp67acfmxazb4p**** |
送信先セキュリティグループの ID 。 |
| IpProtocol | String | 必須 | all |
トランスポート層プロトコル。 このパラメーターの値は大文字と小文字を区別します。 設定可能な値は以下のとおりです。
注 IpProtocolは、IPv4アドレスに対してのみicmpに設定できます。
|
| PortRange | String | 必須 | 22/22 |
トランスポート層プロトコルに対応する宛先ポートの範囲。 設定可能な値は以下のとおりです。
詳細については、「アプリケーションで使用される共通ポート」をご参照ください。 |
| SourceGroupId | String | 任意 | sg-bp67acfmxazb4p**** |
送信元セキュリティグループの ID
次の项目に注意してください。
|
| SourceGroupOwnerId | Long | 任意 | 1234567890 |
アカウント間でセキュリティグループルールを設定したときに、ソースセキュリティグループを管理するAlibaba CloudアカウントのID。
|
| SourceGroupOwnerAccount | String | 任意 | test@aliyun.com |
アカウント間でセキュリティグループルールを設定した場合に、ソースセキュリティグループを管理するAlibaba Cloudアカウント。
|
| SourceCidrIp | String | 任意 | 10.0.0.0/8 |
アクセスを制御するソースIPv4 CIDRブロック。 CIDRブロックとIPv4アドレスがサポートされています。 このパラメーターはデフォルトで空となります。 |
| Ipv6SourceCidrIp | String | 任意 | 2001:250:6000::*** |
アクセスを制御するソースIPv6 CIDRブロック。 CIDRブロックとIPv6アドレスがサポートされています。 注 VPCのIPv6アドレスのみがサポートされています。 Ipv6SourceCidrIpと
SourceCidrIpの両方を指定することはできません。
このパラメーターはデフォルトで空となります。 |
| SourcePrefixListId | String | 任意 | pl-x1j1k5ykzqlixdcy **** |
アクセスを制御するソースプレフィックスリストのID。 DescribePrefixListsを呼び出して、使用可能なプレフィックスリストのIDを照会できます。 次の项目に注意してください。
|
| SourcePortRange | String | 任意 | 22/22 |
トランスポート層プロトコルに対応するソースポートの範囲。 設定可能な値は以下のとおりです。
|
| DestCidrIp | String | 任意 | 10.0.0.0/8 |
宛先IPv4 CIDRブロック。 CIDRブロックとIPv4アドレスがサポートされています。 このパラメーターはデフォルトで空となります。 |
| Ipv6DestCidrIp | String | 任意 | 2001:250:6000::*** |
宛先IPv6 CIDRブロック。 CIDRブロックとIPv6アドレスがサポートされています。 注 VPCのIPv6アドレスのみがサポートされています。 Ipv6DestCidrIpと
DestCidrIpの両方を指定することはできません。
このパラメーターはデフォルトで空となります。 |
| Policy | String | 任意 | accept |
権限付与ポリシー。 設定可能な値は以下のとおりです。
|
| Priority | String | 任意 | 1 |
セキュリティグループルールの優先順位。 値が小さいほど、優先度が高くなります。 Valid values: 1 to 100. デフォルト値:1。 |
| NicType | String | 任意 | イントラネット |
セキュリティグループがクラシックネットワークにある場合のセキュリティグループルールのネットワークインターフェイスコントローラー (NIC) タイプ。 設定可能な値は以下のとおりです。
既定値 :internet. |
| ClientTokend | String | 任意 | 123e4567-e89b-12d3-a456-426655440000 |
リクエストのべき等性を保証するために使用されるクライアントトークンです。 クライアントを使用して値を生成できますが、異なるリクエスト間で一意であることを確認する必要があります。 ClientToken値にはASCII文字のみを使用でき、長さは64文字を超えることはできません。 詳細については、「べき等性を確保する方法」をご参照ください。 |
| 説明 | String | 任意 | これは説明です。 |
セキュリティグループルールの説明。 説明の長さは1 ~ 512文字である必要があります。 |
レスポンスパラメーター
| パラメーター | データ型 | 例 | 説明 |
|---|---|---|---|
| RequestId | String | 473469C7-AA6F-4DC5-B3DB-A3DC0DE3C83E |
リクエストの ID です。 |
例
リクエストの例
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-bp67acfmxazb4p ****
&SourceCidrIp=10.0.0.0/8
&IpProtocol=tcp
&PortRange=22/22
&NicType=イントラネット
&ポリシー=受け入れる
&<共通リクエストパラメーター>正常に処理された場合のレスポンス例
XML 形式
HTTP/1.1 200 OK
Content-Type:application/xml
<AuthorizeSecurityGroupResponse>
<RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
</AuthorizeSecurityGroupResponse>JSON 形式
HTTP/1.1 200 OK
Content-Type:application/json
{
"RequestId" : "CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}エラーコード
| HTTP ステータスコード | エラーコード | エラーメッセージ | 説明 |
|---|---|---|---|
| 400 | OperationDenied | 指定された IpProtocol が存在しないか、IpProtocol と PortRange が対応していません。 | 指定されたIpProtocolパラメーターが存在しないか、指定されたポート範囲と一致しない場合に返されるエラーメッセージ。 |
| 400 | InvalidIpProtocol.Malformed | 指定されたパラメータ "PortRange" は無効です。 | 指定されたIpProtocolまたはPortRangeパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidSourceCidrIp. 不正 | 指定されたパラメーター "SourceCidrIp" は無効です。 | 指定されたSourceCidrIpパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidPolicy.Malformed | 指定されたパラメーター "Policy" は無効です。 | 指定されたPolicyパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidNicType.ValueNotSupported | 指定されたNicTypeは存在しません。 | 指定されたNicTypeパラメーターが存在しない場合に返されるエラーメッセージ。 |
| 400 | InvalidNicType.Mismatch | 指定された NIC タイプが承認レコードと一致していません。 | 指定されたNICタイプがセキュリティグループルールの承認オブジェクトと一致しない場合に返されるエラーメッセージ。 |
| 400 | InvalidSourceGroupId.Mismatch | 指定されたセキュリティグループとソースグループは、同じ VPC にありません。 | 送信先セキュリティグループと送信元セキュリティグループが同じVPCに属していない場合に返されるエラーメッセージ。 |
| 400 | InvalidSourceGroup.NotFound | 指定されたソースセキュリティグループが存在しません。 | 指定されたインバウンドセキュリティグループルールが存在しない場合、または関連するパラメーターが指定されていない場合に返されるエラーメッセージ。 |
| 400 | VPCDisabled | VPCでSecurityGroupを使用できません。 | VPCがセキュリティグループをサポートしていない場合に返されるエラーメッセージ。 |
| 400 | InvalidPriority.Malformed | パラメーター Priority が無効です。 | 指定されたPriorityパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidPriority.ValueNotSupported | パラメーター Priority が無効です。 | 指定されたPriorityパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidNicType.ValueNotSupported | 指定されたNicTypeは無効です。 | 指定されたNicTypeパラメーターが存在しない場合に返されるエラーメッセージ。 |
| 400 | InvalidSecurityGroupDiscription.Malformed | 指定されたセキュリティグループルールの説明は無効です。 | 指定された Description パラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidSecurityGroup.InvalidNetworkType | 指定されたセキュリティグループネットワークタイプはこの操作に対応していません。セキュリティグループネットワークタイプを確認してください。 VPC セキュリティグループの場合は、ClassicLink を有効にする必要があります。 | セキュリティグループが現在のネットワークタイプの場合、操作がサポートされていない場合に返されるエラーメッセージ。 ネットワークタイプがVPCの場合、ClassicLinkを有効にする必要があります。 |
| 400 | MissingParameter.Source | パラメーターSourceCidrIp、SourceGroupId、またはSourcePrefixListIdのいずれかを指定する必要があります。 | SourceCidrIp、SourceGroupId、およびSourcePrefixListIdパラメーターがすべて空の場合に返されるエラーメッセージ。 これらのパラメータの少なくとも1つを指定する必要があります。 |
| 400 | InvalidIpProtocol.ValueNotSupported | パラメーター IpProtocol は、大文字と小文字を区別しない TCP、UDP、ICMP、GRE、または All で指定する必要があります。 | 指定されたIpProtocolパラメーターが無効な場合に返されるエラーメッセージ。 このパラメーターの有効な値は、tcp、udp、icmp、gre、およびallです。 |
| 400 | InvalidSecurityGroupId.Malformed | 指定されたパラメータ "SecurityGroupId" は無効です。 | 指定されたSecurityGroupIdパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParamter.Conflict | 指定されたSourceCidrIpはDestCidrIpとは異なるはずです。 | SourceCidrIpの値がDestCidrIpの値と同じである場合に返されるエラーメッセージ。 |
| 400 | InvalidSourcePortRange.Malformed | 指定されたパラメーター "SourcePortRange" は無効です。 | 指定されたSourcePortRangeパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParam.SourceIp | %s | 指定されたSourceCidrIpパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParam.DestIp | %s | 指定されたDestCidrIpパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParam.Ipv6DestCidrIp | %s | 指定されたIpv6DestCidrIpパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParam.Ipv6SourceCidrIp | %s | 指定されたIpv6SourceCidrIpパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParam.Ipv4ProtocolConflictWithIpv6Address | %s | 指定されたパラメーターが無効な場合に返されるエラーメッセージです。 IPv4プロトコルでIPv6アドレスを誤って入力したかどうかを確認します。 |
| 400 | InvalidParam.Ipv6ProtocolConflictWithIpv4Address | %s | 指定されたパラメーターが無効な場合に返されるエラーメッセージです。 誤ってIPv6プロトコルでIPv4アドレスを入力したかどうかを確認します。 |
| 400 | ILLEGAL_IPV6_CIDR | %s | 指定された IPv6 アドレスが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidDestCidrIp.Malformed | 指定されたパラメータDestCidrIp は無効です。 | 指定されたDestCidrIpパラメーターが無効な場合に返されるエラーメッセージ。 |
| 400 | InvalidParam.PrefixListAddressFamilyMismatch | 指定されたプレフィックスリストのアドレスファミリが、指定されたCidrIpと一致しません。 | 指定されたプレフィックスリストのアドレスファミリが指定されたCIDRブロックのアドレスファミリと一致しない場合に返されるエラーメッセージ。 |
| 400 | NotSupported.ClassicNetworkPrefixList | セキュリティグループのネットワークタイプがクラシックの場合、プレフィックスリストはサポートされません。 | クラシックネットワークのセキュリティグループがプレフィックスリストをサポートしていない場合に返されるエラーメッセージ。 |
| 500 | InternalError | 不明なエラーにより、リクエスト処理が失敗しました。 | 内部エラーが発生した場合に返されるエラーメッセージです。 しばらくしてから再試行します。 エラーが解決しない場合は、チケットを起票してください。 |
| 500 | InvalidGressFlow.Malformed | 指定されたパラメーターGressFlowは無効です。internalによって引き起こされ、もう一度呼び出してみてください。 | 指定されたGressFlowパラメーターが無効な場合に返されるエラーメッセージ。 |
| 403 | InvalidSourceGroupId.Mismatch | NicType は必須です。イントラネットを必要とします。 | NicTypeパラメーターが指定されていないか、イントラネットに設定されていない場合に返されるエラーメッセージ。 |
| 403 | MissingParameter | 入力パラメーター "SourceGroupId" または "SourceCidrIp" は両方とも空白にすることはできません。 | SourceGroupIdパラメーターとSourceCidrIpパラメーターの両方が空の場合に返されるエラーメッセージ。 |
| 403 | AuthorizationLimitExceed | セキュリティグループ内の権限付与レコードの制限に達します。 | セキュリティグループ内のルールの最大数に達した場合に返されるエラーメッセージ。 |
| 403 | InvalidParamter.Conflict | SecurityGroupId には、SourceGroupId と異なる値を指定する必要があります。 | 宛先セキュリティグループが送信元セキュリティグループと同じである場合に返されるエラーメッセージ。 |
| 403 | InvalidNetworkType.Mismatch | 指定された SecurityGroup ネットワークタイプは、SourceGroup ネットワークタイプ (vpc またはクラシック) と同じでなければなりません。 | 宛先セキュリティグループのネットワークタイプが送信元セキュリティグループのネットワークタイプと異なる場合に返されるエラーメッセージ。 |
| 403 | InvalidNetworkType.Conflict | 指定された SecurityGroup ネットワークタイプは、SourceGroup ネットワークタイプ (vpc またはクラシック) と同じでなければなりません。 | 宛先セキュリティグループのネットワークタイプが送信元セキュリティグループのネットワークタイプと異なる場合に返されるエラーメッセージ。 |
| 403 | InvalidOperation.ResourceManagedByCloudProduct | %s | クラウドサービスが管理するセキュリティグループを変更できない場合に返されるエラーメッセージ。 |
| 403 | LimitExceed.PrefixListAssociationResource | プレフィックスリストに関連付けられているリソースの数が制限を超えています。 | プレフィックスリストに関連付けることができるリソースの最大量に達した場合に返されるエラーメッセージ。 |
| 404 | InvalidSecurityGroupId.NotFound | The specified SecurityGroupId does not exist. | 指定されたセキュリティグループがこのアカウント内に存在しない場合に返されるエラーメッセージ。 セキュリティグループ ID が正しいか確認してください。 |
| 404 | InvalidSourceGroupId.NotFound | 指定されたSourceGroupIdはレコードに存在しません。 | 指定されたSourceGroupIdパラメーターが存在しない場合に返されるエラーメッセージ。 |
| 404 | InvalidPrefixListId.NotFound | 指定されたプレフィックスリストが見つかりませんでした。 | 指定されたプレフィックスリストが存在しない場合に返されるエラーメッセージ。 |
| 404 | NotSupported.GrayFunction | プレフィックスリストはグレースケール関数であり、現在サポートされていません。 | プレフィックスリスト機能が招待プレビューになっている間は、この操作がサポートされていない場合に返されるエラーメッセージ。 |
エラーコードリストについては、「API エラーセンター」をご参照ください。