指定された VPC ファイアウォールのポリシーグループにアクセス制御ポリシーを追加する方法 - Resource Orchestration Service

ALIYUN::CLOUDFW::VpcFirewallControlPolicy リソースタイプは、指定された VPC ファイアウォールのポリシーグループにアクセス制御ポリシーを追加します。

構文

{
  "Type": "ALIYUN::CLOUDFW::VpcFirewallControlPolicy",
  "Properties": {
    "Destination": String,
    "ApplicationName": String,
    "Description": String,
    "SourceType": String,
    "DestPort": String,
    "AclAction": String,
    "Lang": String,
    "DestinationType": String,
    "VpcFirewallId": String,
    "Source": String,
    "DestPortType": String,
    "Proto": String,
    "RegionId": String,
    "NewOrder": String,
    "DestPortGroup": String,
    "Release": Boolean,
    "RepeatType": String,
    "StartTime": Integer,
    "DomainResolveType": String,
    "RepeatEndTime": String,
    "RepeatDays": List,
    "EndTime": Integer,
    "RepeatStartTime": String,
    "ApplicationNameList": List,
    "MemberUid": String
  }
}

プロパティ

プロパティ名	型	必須	更新可能	説明	制約
AclAction	String	はい	はい	VPC ファイアウォールのアクセス制御ポリシーにおいて、Cloud Firewall がトラフィックに対して実行する操作です。	有効な値： accept：許可。 drop：拒否。 Log：モニター。
ApplicationName	String	いいえ	はい	VPC ファイアウォールのアクセス制御ポリシーがサポートするアプリケーションタイプです。	有効な値： FTP HTTP HTTPS MySQL SMTP SMTPS RDP VNC SSH Redis MQTT MongoDB Memcache SSL ANY (すべてのアプリケーションタイプをサポートすることを示します)
Description	String	はい	はい	VPC ファイアウォールのアクセス制御ポリシーの説明です。	なし
Destination	String	はい	はい	VPC ファイアウォールのアクセス制御ポリシーにおけるトラフィックの宛先アドレスです。	有効な値： DestinationType が net に設定されている場合、宛先 CIDR ブロックを指定します。例：10.2.3.0/24。 DestinationType が group に設定されている場合、宛先アドレス帳の名前を指定します。例：db_group。 DestinationType が domain に設定されている場合、宛先ドメイン名を指定します。例：*.aliyuncs.com。
DestinationType	String	はい	はい	VPC ファイアウォールのアクセス制御ポリシーにおけるトラフィックの宛先アドレスのタイプです。	有効な値： net：宛先 CIDR ブロック。 group：宛先アドレス帳。 domain：宛先ドメイン名。
NewOrder	String	はい	いいえ	VPC ファイアウォールのアクセス制御ポリシーの優先度です。	優先度の値は 1 から始まり、順に増加します。値が小さいほど優先度が高くなります。1 が最も高い優先度を表します。説明 -1 は最も低い優先度を示します。
Proto	String	はい	いいえ	VPC ファイアウォールのアクセス制御ポリシーにおけるトラフィックのセキュリティプロトコルタイプです。	有効な値： ANY (特定のプロトコルタイプが不明な場合に ANY に設定します) TCP UDP ICMP
Source	String	はい	はい	VPC ファイアウォールのアクセス制御ポリシーにおける送信元アドレスです。	有効な値： SourceType が net に設定されている場合、送信元 CIDR ブロックを指定します。例：10.2.3.0/24。 SourceType が group に設定されている場合、送信元アドレス帳の名前を指定します。例：db_group。
SourceType	String	はい	はい	VPC ファイアウォールのアクセス制御ポリシーにおける送信元アドレスのタイプです。	有効な値： net：送信元 CIDR ブロック。 group：送信元アドレス帳。
VpcFirewallId	String	はい	いいえ	VPC ファイアウォールのアクセス制御ポリシーグループの ID です。	有効な値： VPC ファイアウォールが Cloud Enterprise Network (CEN) を保護する場合、CEN インスタンスの ID を指定します。例：cen-ervw5jbw1234***。 VPC ファイアウォールが Express Connect を保護する場合、VPC ファイアウォールインスタンスの ID を指定します。例：vfw-a42bbb748c91234***。「VPC ファイアウォールのすべてのアクセス制御ポリシーグループを一覧表示」を呼び出して、VPC ファイアウォールのアクセス制御ポリシーのポリシーグループ ID を取得できます。
DestPort	String	いいえ	はい	VPC ファイアウォールのアクセス制御ポリシーにおけるトラフィックの宛先ポートです。	このパラメーターは、DestPortType が port に設定されている場合に設定します。
DestPortGroup	String	いいえ	はい	VPC ファイアウォールのアクセス制御ポリシーにおけるトラフィックの宛先ポートのアドレス帳名です。	このパラメーターは、DestPortType が group に設定されている場合に指定します。
DestPortType	String	いいえ	はい	VPC ファイアウォールのアクセス制御ポリシーにおけるトラフィックの宛先ポートのタイプです。	有効な値： port：ポート。 group：ポートのアドレス帳。
Lang	String	いいえ	はい	リクエストとレスポンスの言語タイプです。	有効な値： zh：中国語。 en：英語。
RegionId	String	いいえ	いいえ	リージョン ID。	有効な値： cn-hangzhou (デフォルト)：杭州。 ap-southeast-1：シンガポール。
Release	Boolean	いいえ	いいえ	アクセス制御ポリシーの有効ステータスです。	ポリシーは作成後にデフォルトで有効になります。有効な値： true：アクセス制御ポリシーを有効にします。 false：アクセス制御ポリシーを無効にします。
RepeatType	String	いいえ	いいえ	アクセス制御ポリシーのポリシー有効期間の繰り返しタイプです。	有効な値： Permanent (デフォルト)：常に有効。 None：1 回のみ指定。 Daily：毎日 Weekly：毎週。 Monthly：毎月。
StartTime	Integer	いいえ	いいえ	アクセス制御ポリシーのポリシー有効期間の開始時刻です。	秒単位の UNIX タイムスタンプ形式を使用します。時刻は正時または 30 分で、終了時刻より少なくとも 30 分早くする必要があります。説明 RepeatType が Permanent の場合、StartTime は空です。RepeatType が None、Daily、Weekly、または Monthly の場合、StartTime には値を設定する必要があります。開始時刻を設定してください。
RepeatEndTime	String	いいえ	いいえ	アクセス制御ポリシーのポリシー有効期間の繰り返し終了時刻です。	例：23:30。時刻は正時または 30 分で、繰り返し開始時刻より少なくとも 30 分遅くする必要があります。説明 RepeatType が Permanent または None の場合、RepeatEndTime は空です。RepeatType が Daily、Weekly、または Monthly の場合、RepeatEndTime には値を設定する必要があります。繰り返し終了時刻を設定してください。
RepeatDays	List	いいえ	いいえ	アクセス制御ポリシーのポリシー有効期間の繰り返し日のコレクションです。	RepeatType が `Permanent`、`None`、または `Daily` の場合、RepeatDays は空のコレクションです。例：[]。 RepeatType が Weekly の場合、RepeatDays は空にできません。例：[0, 6]。注 RepeatType が Weekly に設定されている場合、RepeatDays には重複した値を含めることはできません。 RepeatType が `Monthly` の場合、RepeatDays は空にできません。例：[1, 31]。注 RepeatType が Monthly に設定されている場合、RepeatDays には重複した値を含めることはできません。
EndTime	Integer	いいえ	いいえ	アクセス制御ポリシーのポリシー有効期間の終了時刻です。	秒単位の UNIX タイムスタンプ形式を使用します。時刻は正時または 30 分で、開始時刻より少なくとも 30 分遅くする必要があります。説明 RepeatType が Permanent の場合、EndTime は空です。RepeatType が None、Daily、Weekly、または Monthly の場合、EndTime には値を設定する必要があります。終了時刻を設定してください。
RepeatStartTime	String	いいえ	いいえ	アクセス制御ポリシーのポリシー有効期間の繰り返し開始時刻です。	例：08:00。時刻は正時または 30 分で、繰り返し終了時刻より少なくとも 30 分早くする必要があります。説明 RepeatType が Permanent または None の場合、RepeatStartTime は空です。RepeatType が Daily、Weekly、または Monthly の場合、RepeatStartTime には値を設定する必要があります。繰り返し開始時刻を設定してください。
DomainResolveType	String	いいえ	いいえ	アクセス制御ポリシーのドメイン名解決メソッドです。	有効な値： FQDN：FQDN に基づく。 DNS：動的 DNS 解決に基づく。 FQDN_AND_DNS：FQDN と動的 DNS 解決に基づく。
ApplicationNameList	List	いいえ	いいえ	アプリケーション名です。	なし
MemberUid	String	いいえ	いいえ	Cloud Firewall メンバーアカウントの UID です。	なし

戻り値

Fn::GetAtt

AclUuid：アクセス制御ポリシーの一意の ID です。

例

YAML

ROSTemplateFormatVersion: '2015-09-01'
Parameters:
  AclAction:
    AllowedValues:
    - accept
    - drop
    - log
    Description: 'Cloud Firewall がトラフィックに対して実行する操作。有効な値：

      accept: トラフィックを許可します。

      drop: トラフィックを拒否します。

      log: トラフィックをモニターします。'
    Type: String
  ApplicationName:
    AllowedValues:
    - ANY
    - FTP
    - HTTP
    - HTTPS
    - MySQL
    - SMTP
    - SMTPS
    - RDP
    - VNC
    - SSH
    - Redis
    - MQTT
    - MongoDB
    - Memcache
    - SSL
    Description: "アクセス制御ポリシーがサポートするアプリケーションタイプ。\n\
      有効な値：\nANY (すべてのアプリケーションタイプがサポートされることを示します) \n\
      FTP \nHTTP \nHTTPS \nMySQL \nSMTP \nSMTPS \nRDP \nVNC \nSSH \nRedis \nMQTT \n\
      MongoDB \nMemcache \nSSL"
    Type: String
  Description:
    Description: アクセス制御ポリシーの説明です。
    Type: String
  DestPort:
    Description: 'アクセス制御ポリシーの宛先ポートです。

      注意：このパラメーターは、DestPortType パラメーターが port に設定されている場合に指定する必要があります。'
    Type: String
  DestPortGroup:
    Description: 'アクセス制御ポリシーの宛先ポートのアドレス帳です。

      注意：このパラメーターは、DestPortType パラメーターが group に設定されている場合に指定する必要があります。'
    Type: String
  DestPortType:
    AllowedValues:
    - group
    - port
    Description: 'アクセス制御ポリシーの宛先ポートのタイプ。有効な値：

      port: ポート

      group: アドレス帳'
    Type: String
  Destination:
    Description: 'アクセス制御ポリシーの宛先アドレスです。

      このパラメーターは次のように設定します：

      DestinationType パラメーターが net に設定されている場合、値を Classless
      Inter-Domain Routing (CIDR) ブロックに設定します。

      例：10.2.3.0/24。

      DestinationType パラメーターが group に設定されている場合、値をアドレス帳の名前に設定します。

      例：db_group。

      DestinationType パラメーターが domain に設定されている場合、値をドメイン名に設定します。

      例：*.aliyuncs.com。'
    Type: String
  DestinationType:
    AllowedValues:
    - domain
    - group
    - net
    Description: 'アクセス制御ポリシーの宛先アドレスのタイプ。有効な値：

      net: CIDR ブロック

      group: アドレス帳

      domain: ドメイン名'
    Type: String
  Lang:
    AllowedValues:
    - en
    - zh
    Description: 'リクエストとレスポンスの自然言語。有効な値：

      zh: 中国語

      en: 英語'
    Type: String
  NewOrder:
    Description: 'アクセス制御ポリシーの優先度です。

      優先度の値は 1 から始まります。優先度の値が小さいほど、優先度が高くなります。

      注意：-1 の値は最も低い優先度を示します。'
    Type: String
  Proto:
    AllowedValues:
    - ANY
    - TCP
    - UDP
    - ICMP
    Description: アクセス制御ポリシーのセキュリティプロトコルのタイプです。
    Type: String
  RegionId:
    AllowedValues:
    - cn-hangzhou
    - ap-southeast-1
    Default: cn-hangzhou
    Description: リージョン ID。デフォルトは cn-hangzhou です。
    Type: String
  Source:
    Description: 'アクセス制御ポリシーの送信元アドレスです。

      SourceType パラメーターが net に設定されている場合、値を CIDR ブロックに設定します。例：
      10.2.3.0/24。

      SourceType パラメーターが group に設定されている場合、値をアドレス帳の名前に設定します。例：db_group。'
    Type: String
  SourceType:
    AllowedValues:
    - group
    - net
    Description: 'アクセス制御ポリシーの送信元アドレスのタイプ。有効な値：

      net: CIDR ブロック

      group: アドレス帳'
    Type: String
  VpcFirewallId:
    Description: 'アクセス制御ポリシーを追加するポリシーグループの ID です。

      VPC ファイアウォールが CEN を保護するために使用される場合、値を VPC ファイアウォールが保護する CEN インスタンスの ID に設定します。
      例：cen-ervw5jbw1234*****。

      VPC ファイアウォールが Express Connect を保護するために使用される場合、値を VPC ファイアウォールインスタンスの ID に設定します。
      例：vfw-a42bbb748c91234*****。

      注意：DescribeVpcFirewallAclGroupList 操作を呼び出して、ポリシーグループの ID をクエリできます。'
    Type: String
Resources:
  VpcFirewallControlPolicy:
    Type: ALIYUN::CLOUDFW::VpcFirewallControlPolicy
    Properties:
      AclAction:
        Ref: AclAction
      ApplicationName:
        Ref: ApplicationName
      Description:
        Ref: Description
      DestPort:
        Ref: DestPort
      DestPortGroup:
        Ref: DestPortGroup
      DestPortType:
        Ref: DestPortType
      Destination:
        Ref: Destination
      DestinationType:
        Ref: DestinationType
      Lang:
        Ref: Lang
      NewOrder:
        Ref: NewOrder
      Proto:
        Ref: Proto
      RegionId:
        Ref: RegionId
      Source:
        Ref: Source
      SourceType:
        Ref: SourceType
      VpcFirewallId:
        Ref: VpcFirewallId
Outputs:
  AclUuid:
    Description: アクセス制御ポリシーの一意の ID です。
    Value:
      Fn::GetAtt:
      - VpcFirewallControlPolicy
      - AclUuid

JSON

{
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
    "Destination": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの宛先アドレスです。\nこのパラメーターは次のように設定します：\nDestinationType パラメーターが net に設定されている場合、値を Classless Inter-Domain Routing (CIDR) ブロックに設定します。\n例：10.2.3.0/24。\nDestinationType パラメーターが group に設定されている場合、値をアドレス帳の名前に設定します。\n例：db_group。\nDestinationType パラメーターが domain に設定されている場合、値をドメイン名に設定します。\n例：*.aliyuncs.com。"
    },
    "ApplicationName": {
      "Type": "String",
      "Description": "アクセス制御ポリシーがサポートするアプリケーションタイプ。\n有効な値：\nANY (すべてのアプリケーションタイプがサポートされることを示します) \nFTP \nHTTP \nHTTPS \nMySQL \nSMTP \nSMTPS \nRDP \nVNC \nSSH \nRedis \nMQTT \nMongoDB \nMemcache \nSSL",
      "AllowedValues": [
        "ANY",
        "FTP",
        "HTTP",
        "HTTPS",
        "MySQL",
        "SMTP",
        "SMTPS",
        "RDP",
        "VNC",
        "SSH",
        "Redis",
        "MQTT",
        "MongoDB",
        "Memcache",
        "SSL"
      ]
    },
    "Description": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの説明です。"
    },
    "SourceType": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの送信元アドレスのタイプ。有効な値：\nnet: CIDR ブロック\ngroup: アドレス帳",
      "AllowedValues": [
        "group",
        "net"
      ]
    },
    "DestPort": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの宛先ポートです。\n注意：このパラメーターは、DestPortType パラメーターが port に設定されている場合に指定する必要があります。"
    },
    "AclAction": {
      "Type": "String",
      "Description": "Cloud Firewall がトラフィックに対して実行する操作。有効な値：\naccept: トラフィックを許可します。\ndrop: トラフィックを拒否します。\nlog: トラフィックをモニターします。",
      "AllowedValues": [
        "accept",
        "drop",
        "log"
      ]
    },
    "Lang": {
      "Type": "String",
      "Description": "リクエストとレスポンスの自然言語。有効な値：\nzh: 中国語\nen: 英語",
      "AllowedValues": [
        "en",
        "zh"
      ]
    },
    "DestinationType": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの宛先アドレスのタイプ。有効な値：\nnet: CIDR ブロック\ngroup: アドレス帳\ndomain: ドメイン名",
      "AllowedValues": [
        "domain",
        "group",
        "net"
      ]
    },
    "VpcFirewallId": {
      "Type": "String",
      "Description": "アクセス制御ポリシーを追加するポリシーグループの ID です。\nVPC ファイアウォールが CEN を保護するために使用される場合、値を VPC ファイアウォールが保護する CEN インスタンスの ID に設定します。\n例：cen-ervw5jbw1234*****。\nVPC ファイアウォールが Express Connect を保護するために使用される場合、値を VPC ファイアウォールインスタンスの ID に設定します。\n例：vfw-a42bbb748c91234*****。\n注意：DescribeVpcFirewallAclGroupList 操作を呼び出して、ポリシーグループの ID をクエリできます。"
    },
    "Source": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの送信元アドレスです。\nSourceType パラメーターが net に設定されている場合、値を CIDR ブロックに設定します。例：10.2.3.0/24。\nSourceType パラメーターが group に設定されている場合、値をアドレス帳の名前に設定します。例：db_group。"
    },
    "DestPortType": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの宛先ポートのタイプ。有効な値：\nport: ポート\ngroup: アドレス帳",
      "AllowedValues": [
        "group",
        "port"
      ]
    },
    "Proto": {
      "Type": "String",
      "Description": "アクセス制御ポリシーのセキュリティプロトコルのタイプです。",
      "AllowedValues": [
        "ANY",
        "TCP",
        "UDP",
        "ICMP"
      ]
    },
    "RegionId": {
      "Type": "String",
      "Description": "リージョン ID。デフォルトは cn-hangzhou です。",
      "AllowedValues": [
        "cn-hangzhou",
        "ap-southeast-1"
      ],
      "Default": "cn-hangzhou"
    },
    "NewOrder": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの優先度です。\n優先度の値は 1 から始まります。優先度の値が小さいほど、優先度が高くなります。\n注意：-1 の値は最も低い優先度を示します。"
    },
    "DestPortGroup": {
      "Type": "String",
      "Description": "アクセス制御ポリシーの宛先ポートのアドレス帳です。\n注意：このパラメーターは、DestPortType パラメーターが group に設定されている場合に指定する必要があります。"
    }
  },
  "Resources": {
    "VpcFirewallControlPolicy": {
      "Type": "ALIYUN::CLOUDFW::VpcFirewallControlPolicy",
      "Properties": {
        "Destination": {
          "Ref": "Destination"
        },
        "ApplicationName": {
          "Ref": "ApplicationName"
        },
        "Description": {
          "Ref": "Description"
        },
        "SourceType": {
          "Ref": "SourceType"
        },
        "DestPort": {
          "Ref": "DestPort"
        },
        "AclAction": {
          "Ref": "AclAction"
        },
        "Lang": {
          "Ref": "Lang"
        },
        "DestinationType": {
          "Ref": "DestinationType"
        },
        "VpcFirewallId": {
          "Ref": "VpcFirewallId"
        },
        "Source": {
          "Ref": "Source"
        },
        "DestPortType": {
          "Ref": "DestPortType"
        },
        "Proto": {
          "Ref": "Proto"
        },
        "RegionId": {
          "Ref": "RegionId"
        },
        "NewOrder": {
          "Ref": "NewOrder"
        },
        "DestPortGroup": {
          "Ref": "DestPortGroup"
        }
      }
    }
  },
  "Outputs": {
    "AclUuid": {
      "Description": "アクセス制御ポリシーの一意の ID です。",
      "Value": {
        "Fn::GetAtt": [
          "VpcFirewallControlPolicy",
          "AclUuid"
        ]
      }
    }
  }
}