セキュリティグループに受信ルールを追加します。このアクションは、他のデバイスから指定されたセキュリティグループ内のインスタンスへのインバウンドトラフィックを許可または拒否します。
説明
トラフィックの始点を送信元、トラフィックの終点を宛先とします。次の図を参照してください。
このインターフェイスを呼び出すときは、次の点を考慮してください。
1 つのセキュリティグループに最大 100 の認証ルールを追加できます。
許可ポリシーを
accept
またはdrop
に設定することができます。セキュリティグループの「優先度」は 1 〜 100 の範囲です。ここでは、数値が小さいほど優先度が高くなります。
複数の許可規則の優先順位が同じ場合、
drop
規則が優先されます。セキュリティグループルールを追加するには、次の 2 つのパラメータセットを使用します。一つのルールがすでに 2 組のパラメータに応じて存在している場合、AuthorizeSecurityGroup は失敗します。
IP アドレス範囲のアクセス許可を設定するには、たとえば、リクエスト例 1:IpProtocol、PortRange、(オプション)SourcePortRange、NicType、Policy、(オプション)DestCiderIp および SourceCidrIp を指定します。
別のセキュリティグループにあるインスタンスのアクセス許可を設定するには、IpProtocol、PortRange、(オプション)SourcePortRange、NicType、Policy、(オプション)DestCiderIp、SourceGroupOwnerAccount、および SourceGroupId を指定します。
リクエストパラメータ
名前 | 型 | 必須かどうか | 説明 |
---|---|---|---|
Action | String | はい | このインタフェースの名前。値:AuthorizeSecurityGroup。 |
RegionId | String | はい | リージョン ID。詳細については、DescribeRegions を呼び出して最新のリージョンリストを取得してください。 |
SecurityGroupId | String | はい | 宛先セキュリティグループの ID。 |
Priority | String | No | 承認ポリシーの優先順位。値の範囲: [1, 100]. デフォルト値:1 |
Description | String | No | セキュリティグループのルールの説明。最大 512 文字まで使用できます。 |
IpProtocol | String | はい | トランスポート層プロトコル。オプションの値:
|
NicType | String | いいえ | ネットワークタイプ。オプションの値:
SourceGroupId が指定され、SourceCidrIp が指定されていないときは、 NicType をintranet として指定する必要があります。 デフォルト値:internet。 |
Policy | String | いいえ | アクセス許可。オプションの値:
|
PortRange | String | はい | トランスポート層プロトコルに関連する宛先ポートの範囲。オプションの値:
|
SourcePortRange | String | はい | トランスポート層プロトコルに関連する送信元ポートの範囲。オプションの値:
|
DestCidrIp | String | いいえ | 宛先 IP アドレスの範囲。CIDR と IPv4 形式のみがサポートされています。 デフォルト値: 0.0.0.0/0. |
SourceCidrIp | String | いいえ | 送信元 IP アドレスの範囲。CIDR と IPv4 形式のみがサポートされています。 デフォルト値: 0.0.0.0/0. |
SourceGroupId | String | いいえ | ソースセキュリティグループ ID。SourceGroupId またはSourceCidrIp パラメータのいずれかを設定する必要があります。両方が設定されている場合、 SourceCidrIp はデフォルトで許可されます。SourceGroupId が指定され、SourceCidrIp が指定されていない場合、 NicType はintranet に設定されなければなりません。 |
SourceGroupOwnerAccount | String | いいえ | ソースセキュリティグループの Alibaba Cloud アカウント。SourceGroupOwnerAccount とSourceGroupOwnerId が設定されていない場合、同じアカウントのセキュリティグループに対して承認が実行されます。SourceCidrIp が既に設定されている場合、SourceGroupOwnerAccount は無効です。 |
SourceGroupOwnerId | String | いいえ | ソースセキュリティグループの Alibaba Cloud アカウント ID。SourceGroupOwnerAccount とSourceGroupOwnerId が設定されていない場合、同じアカウントのセキュリティグループに対して承認が実行されます。SourceCidrIp が既に設定されている場合、SourceGroupOwnerId は無効です。 |
レスポンスパラメータ
すべて共通のパラメータです。詳細は、コモンパラメーターを参照してください。
例
リクエスト例 1
指定された IP アドレス範囲にアクセス許可を与えます。インターネットまたはイントラネットへのクラシックネットワークに接続されたセキュリティグループのために NicType を設定することができます。VPC に接続されたセキュリティグループの NicType だけでイントラネットに設定することができます。
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&SourceCidrIp=0.0.0.0/0
&IpProtocol=tcp
&PortRange=1/65535
&NicType=intranet
&Policy=Allow
&<Common Request Parameters>
リクエスト例 2
別のセキュリティグループのアクセス許可を与えます。NicType だけでイントラネットに設定することができます。クラシックネットワーク接続のセキュリティグループ間の相互のアクセスのために、セキュリティグループにアクセスするには、同じリージョン内の別のセキュリティグループのアクセス許可を設定することができます。このセキュリティグループがご自身に属するものであるか、または他の SourceGroupOwnerAccount に属するかを設定できます。VPC に接続されたセキュリティグループ間の相互のアクセスのために、ご自身のセキュリティグループにアクセスするには、同じ VPC 内の別のセキュリティグループのアクセス許可を設定します。
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&SourceGroupId=sg-1651FBB64
&SourceGroupOwnerAccount=test@aliyun.com
&IpProtocol=tcp
&PortRange=1/65535
&NicType=intranet
&Policy=Drop
&<Common Request Parameters>
レスポンスの例
XML
形式
<AuthorizeSecurityGroupResponse>
<RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
</AuthorizeSecurityGroupResponse>
JSON
形式
{
"RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}
エラーコード
このインタフェースに固有のエラーコードは次のとおりです。エラーコードの詳細については、API のエラー・センターを参照してください。
エラーコード | エラーメッセージ | HTTP ステータスコード | 意味 |
---|---|---|---|
InvalidIpProtocol.Malformed | The specified parameter “PortRange” is not valid. | 400 | 指定された IpProtocol は無効です。 |
InvalidPriority.Malformed | The specified parameter “Priority” is not valid. | 400 | 指定されたPriority は無効です。 |
InvalidSourceCidrIp.Malformed | The specified parameter “SourceCidrIp” is not valid. | 400 | 指定された SourceCidrIp は無効です。 |
InvalidDestCidrIp.Malformed | The specified parameter “DestCidrIp” is not valid. | 400 | 指定された DestCidrIp は無効です。 |
InvalidPolicy.Malformed | The specified parameter “Policy” is not valid. | 400 | 指定された Policy は無効です。 |
InvalidNicType.ValueNotSupported | The specified NicType does not exist. | 400 | 指定された NicType は存在しません。 |
InvalidSourceGroupId.Mismatch | Specified security group and source group are not in the same VPC. | 400 | 指定された宛先セキュリティグループのネットワークタイプは VPC なので、送信元セキュリティグループは VPC に接続する必要があります。 |
InvalidNicType.Mismatch | Specified nic type conflicts with the authorization record. | 400 | 指定された NicType は無効です。 |
InvalidSourceGroup.NotFound | The specified SourceGroupId does not exist. | 400 | 指定された SourceGroupId は存在しません。 |
InvalidPriority.ValueNotSupported | The specified Priority is invalid. | 400 | 指定されたPriority は無効です。 |
InvalidSecurityGroupDiscription.Malformed | The specified security group rule description is not valid. | 400 | 指定された Description は無効です。 |
OperationDenied | The specified IpProtocol does not exist or IpProtocol and PortRange do not match. | 400 | 指定された IpProtocol は存在しません。あるいは IpProtocol とPortRange が間違ってマッチしています。 |
AuthorizationLimitExceed | The maximum number of authorization rules in the security group is exceeded. | 403 | 1 つのセキュリティグループに 100 を超える認可ルールを追加することはできません。 |
InvalidSourceGroupId.Mismatch | NicType is required or NicType expects intranet. | 403 | NicType を指定する必要があります。あるいは、NicType はintranet に設定されなければなりません。 |
InvalidNetworkType.Mismatch | The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic). | 403 | セキュリティグループのネットワークタイプは同じでなければなりません。 |
InvalidParamter.Conflict | The specified SecurityGroupId should be different from the SourceGroupId. | 403 | SecurityGroupId とSourceGroupId は同じセキュリティグループにすることはできません。 |
MissingParameter | The input parameter “SourceGroupId” or “SourceCidrIp” cannot be both blank. | 403 | SourceGroupId またはSourceCidrIp を指定する必要があります。 |
InvalidSourceGroupId.NotFound | The SourceGroupId provided does not exist in our records. | 404 | 指定された SourceGroup は存在しません。 |
InvalidSecurityGroupId.NotFound | The specified SecurityGroupId does not exist. | 404 | 指定された SecurityGroupId は存在しません。 |
InvalidRegionId.NotFound | The specified RegionId does not exist. | 404 | 指定された RegionId は存在しません。 |