edit-icon download-icon

AuthorizeSecurityGroup

最終更新日: Aug 01, 2018

セキュリティグループに受信ルールを追加します。このアクションは、他のデバイスから指定されたセキュリティグループ内のインスタンスへのインバウンドトラフィックを許可または拒否します。

説明

トラフィックの始点を送信元、トラフィックの終点を宛先とします。次の図を参照してください。

IngressRule

このインターフェイスを呼び出すときは、次の点を考慮してください。

  • 1 つのセキュリティグループに最大 100 の認証ルールを追加できます。

  • 許可ポリシーを acceptまたはdropに設定することができます。

  • セキュリティグループの「優先度」は 1 〜 100 の範囲です。ここでは、数値が小さいほど優先度が高くなります。

  • 複数の許可規則の優先順位が同じ場合、 drop規則が優先されます。

  • セキュリティグループルールを追加するには、次の 2 つのパラメータセットを使用します。一つのルールがすでに 2 組のパラメータに応じて存在している場合、AuthorizeSecurityGroup は失敗します。

    • IP アドレス範囲のアクセス許可を設定するには、たとえば、リクエスト例 1:IpProtocol、PortRange、(オプション)SourcePortRange、NicType、Policy、(オプション)DestCiderIp および SourceCidrIp を指定します。

    • 別のセキュリティグループにあるインスタンスのアクセス許可を設定するには、IpProtocol、PortRange、(オプション)SourcePortRange、NicType、Policy、(オプション)DestCiderIp、SourceGroupOwnerAccount、および SourceGroupId を指定します。

リクエストパラメータ

名前 必須かどうか 説明
Action String はい このインタフェースの名前。値:AuthorizeSecurityGroup。
RegionId String はい リージョン ID。詳細については、DescribeRegionsを呼び出して最新のリージョンリストを取得してください。
SecurityGroupId String はい 宛先セキュリティグループの ID。
Priority String No 承認ポリシーの優先順位。値の範囲: [1, 100].
デフォルト値:1
Description String No セキュリティグループのルールの説明。最大 512 文字まで使用できます。
IpProtocol String はい トランスポート層プロトコル。オプションの値:
  • icmp
  • gre
  • tcp
  • udp
  • all
これらの値は大文字と小文字を区別しません。
NicType String いいえ ネットワークタイプ。オプションの値:
  • internet
  • intranet
相互セキュリティグループ認可では、 SourceGroupIdが指定され、SourceCidrIpが指定されていないときは、 NicTypeintranetとして指定する必要があります。
デフォルト値:internet。
Policy String いいえ アクセス許可。オプションの値:
  • accept:アクセスを許可します。
  • drop:アクセスを拒否し、ソースデバイスに応答を送信しません。
デフォルト値:accept.
PortRange String はい トランスポート層プロトコルに関連する宛先ポートの範囲。オプションの値:
  • TCP/UDP プロトコルの場合、[1, 65535]。ポート範囲、予想サンプル: 1/200、不正なサンプル:200/1をスラッシュ(/)で区切ることができます。
  • ICMP プロトコルの場合、-1/-1。
  • GRE プロトコルの場合、-1/-1。
  • すべてのプロトコルについて、-1/-1。
SourcePortRange String はい トランスポート層プロトコルに関連する送信元ポートの範囲。オプションの値:
  • TCP/UDP プロトコルの場合、[1, 65535]。ポート範囲、予想サンプル: 1/200、不正なサンプル:200/1をスラッシュ(/)で区切ることができます。
  • ICMP プロトコルの場合、-1/-1。
  • GRE プロトコルの場合、-1/-1。
  • すべてのプロトコルについて、-1/-1。
DestCidrIp String いいえ 宛先 IP アドレスの範囲。CIDR と IPv4 形式のみがサポートされています。
デフォルト値: 0.0.0.0/0.
SourceCidrIp String いいえ 送信元 IP アドレスの範囲。CIDR と IPv4 形式のみがサポートされています。
デフォルト値: 0.0.0.0/0.
SourceGroupId String いいえ ソースセキュリティグループ ID。SourceGroupIdまたはSourceCidrIpパラメータのいずれかを設定する必要があります。両方が設定されている場合、 SourceCidrIpはデフォルトで許可されます。SourceGroupIdが指定され、SourceCidrIpが指定されていない場合、 NicTypeintranetに設定されなければなりません。
SourceGroupOwnerAccount String いいえ ソースセキュリティグループの Alibaba Cloud アカウント。SourceGroupOwnerAccountSourceGroupOwnerIdが設定されていない場合、同じアカウントのセキュリティグループに対して承認が実行されます。SourceCidrIpが既に設定されている場合、SourceGroupOwnerAccountは無効です。
SourceGroupOwnerId String いいえ ソースセキュリティグループの Alibaba Cloud アカウント ID。SourceGroupOwnerAccountSourceGroupOwnerIdが設定されていない場合、同じアカウントのセキュリティグループに対して承認が実行されます。SourceCidrIpが既に設定されている場合、SourceGroupOwnerIdは無効です。

レスポンスパラメータ

すべて共通のパラメータです。詳細は、コモンパラメーターを参照してください。

リクエスト例 1

指定された IP アドレス範囲にアクセス許可を与えます。インターネットまたはイントラネットへのクラシックネットワークに接続されたセキュリティグループのために NicType を設定することができます。VPC に接続されたセキュリティグループの NicType だけでイントラネットに設定することができます。

  1. https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
  2. &SecurityGroupId=sg-F876FF7BA
  3. &SourceCidrIp=0.0.0.0/0
  4. &IpProtocol=tcp
  5. &PortRange=1/65535
  6. &NicType=intranet
  7. &Policy=Allow
  8. &<Common Request Parameters>

リクエスト例 2

別のセキュリティグループのアクセス許可を与えます。NicType だけでイントラネットに設定することができます。クラシックネットワーク接続のセキュリティグループ間の相互のアクセスのために、セキュリティグループにアクセスするには、同じリージョン内の別のセキュリティグループのアクセス許可を設定することができます。このセキュリティグループがご自身に属するものであるか、または他の SourceGroupOwnerAccount に属するかを設定できます。VPC に接続されたセキュリティグループ間の相互のアクセスのために、ご自身のセキュリティグループにアクセスするには、同じ VPC 内の別のセキュリティグループのアクセス許可を設定します。

  1. https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
  2. &SecurityGroupId=sg-F876FF7BA
  3. &SourceGroupId=sg-1651FBB64
  4. &SourceGroupOwnerAccount=test@aliyun.com
  5. &IpProtocol=tcp
  6. &PortRange=1/65535
  7. &NicType=intranet
  8. &Policy=Drop
  9. &<Common Request Parameters>

レスポンスの例

XML 形式

  1. <AuthorizeSecurityGroupResponse>
  2. <RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
  3. </AuthorizeSecurityGroupResponse>

JSON 形式

  1. {
  2. "RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
  3. }

エラーコード

このインタフェースに固有のエラーコードは次のとおりです。エラーコードの詳細については、API のエラー・センターを参照してください。

エラーコード エラーメッセージ HTTP ステータスコード 意味
InvalidIpProtocol.Malformed The specified parameter “PortRange” is not valid. 400 指定された IpProtocolは無効です。
InvalidPriority.Malformed The specified parameter “Priority” is not valid. 400 指定されたPriorityは無効です。
InvalidSourceCidrIp.Malformed The specified parameter “SourceCidrIp” is not valid. 400 指定された SourceCidrIpは無効です。
InvalidDestCidrIp.Malformed The specified parameter “DestCidrIp” is not valid. 400 指定された DestCidrIpは無効です。
InvalidPolicy.Malformed The specified parameter “Policy” is not valid. 400 指定された Policyは無効です。
InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 指定された NicTypeは存在しません。
InvalidSourceGroupId.Mismatch Specified security group and source group are not in the same VPC. 400 指定された宛先セキュリティグループのネットワークタイプは VPC なので、送信元セキュリティグループは VPC に接続する必要があります。
InvalidNicType.Mismatch Specified nic type conflicts with the authorization record. 400 指定された NicTypeは無効です。
InvalidSourceGroup.NotFound The specified SourceGroupId does not exist. 400 指定された SourceGroupIdは存在しません。
InvalidPriority.ValueNotSupported The specified Priority is invalid. 400 指定されたPriorityは無効です。
InvalidSecurityGroupDiscription.Malformed The specified security group rule description is not valid. 400 指定された Descriptionは無効です。
OperationDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match. 400 指定された IpProtocolは存在しません。あるいは IpProtocolPortRangeが間違ってマッチしています。
AuthorizationLimitExceed The maximum number of authorization rules in the security group is exceeded. 403 1 つのセキュリティグループに 100 を超える認可ルールを追加することはできません。
InvalidSourceGroupId.Mismatch NicType is required or NicType expects intranet. 403 NicTypeを指定する必要があります。あるいは、NicTypeintranetに設定されなければなりません。
InvalidNetworkType.Mismatch The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic). 403 セキュリティグループのネットワークタイプは同じでなければなりません。
InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId. 403 SecurityGroupIdSourceGroupIdは同じセキュリティグループにすることはできません。
MissingParameter The input parameter “SourceGroupId” or “SourceCidrIp” cannot be both blank. 403 SourceGroupIdまたはSourceCidrIpを指定する必要があります。
InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records. 404 指定された SourceGroupは存在しません。
InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist. 404 指定された SecurityGroupIdは存在しません。
InvalidRegionId.NotFound The specified RegionId does not exist. 404 指定された RegionIdは存在しません。