授权安全组In方向的访问权限
描述
设定安全组In方向的访问权限。
可支持的授权策略为:accept(接受访问),drop (拒绝访问)。
可支持不同的网络类型,如NicType可选择internet或intranet,分别表示公网或内网。VPC类型的ECS实例,只支持intranet类型。
单个安全组的授权规则最多为100条。
安全组的优先级根据创建的时间降序排序匹配。
规则优先级可选范围为1-100,默认值为1,即最高优先级。数字越大,代表优先级越低。
相同优先级的授权规则,授权策略为drop的规则优先。
组和组之间的授权只能在内网,即NicType只能选择intranet。
安全组规则由两组可选参数中的一组组成:SourceGroupOwnerAccount、SourceGroupId、IpProtocol、PortRange、NicType、Policy或者SourceCidrIp、IpProtocol、PortRange、NicType、Policy。如匹配的规则已存在将会报错。
支持两种授权方式: 1、授权同一region(经典网络)/同一VPC(VPC)内其他安全组(允许跨用户授权)对其的访问权限;2、授权指定某IP地址范围(CIDR格式)对其的访问权限
请求参数
名称 |
类型 |
是否必须 |
描述 |
Action
String
是
系统规定参数,取值:AuthorizeSecurityGroup
SecurityGroupId
String
是
目标安全组编码
RegionId
String
是
目标安全组所属Region ID
IpProtocol
String
是
IP协议,取值:tcp | udp | icmp | gre | all;
all表示同时支持四种协议
PortRange
String
是
IP协议相关的端口号范围
- 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。
- 协议为icmp时端口号范围值为-1/-1;
- gre协议时端口号范围值为-1/-1;
- 协议为all时端口号范围值为-1/-1
SourceGroupId
String
否
源安全组ID,SourceGroupId或者SourceCidrIp参数必须设置一项,如果两项都设置,则默认对SourceCidrIp授权。如果指定了该字段且没有指定SourceCidrIp,则NicType只能选择intranet
SourceGroupOwnerAccount
String
否
跨用户安全组授权时,源安全组所属用户的阿里云账号。该参数可选,如果未设置,则默认为同一账户安全组间授权。SourceCidrIp如果已经被设置,则该参数无效。
SourceCidrIp
String
否
源IP地址范围(采用CIDR格式来指定IP地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12或10.159.6.186。仅支持IPV4。
Policy
String
否
授权策略,参数值可为:accept(接受访问),drop (拒绝访问)
默认值为:accept
Priority
String
否
授权策略优先级,参数值可为:1-100
默认值为:1
NicType
String
否
网络类型,取值:
默认值为internet
当对安全组进行相互授权时(即指定了SourceGroupId且没有指定SourceCidrIp),必须指定NicType为intranet
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 |
描述 |
Http 状态码 |
语义 |
InvalidRegionId.NotFound
The RegionId provided does not exist in our records.
404
指定的RegionId不存在
MissingParameter
The input parameter "RegionId" that is mandatory for processing this request is not supplied.
400
RegionId参数未指定
InvalidSecurityGroupId.NotFound
The SecurityGroupId provided does not exist in our records.
404
指定的SecurityGroupId不存在
MissingParameter
The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied.
400
SecurityGroupId参数未指定
OperationDenied
The specified IpProtocol does not exist or IpProtocol and PortRange do not match.
400
IP协议不存在或者IP协议和端口不匹配
MissingParameter
The input parameter "IpProtocol" that is mandatory for processing this request is not supplied.
400
IpProtocol参数未指定
InvalidIpProtocol.Malformed
The specified parameter "PortRange" is not valid.
400
IpProtocol参数格式不正确
InvalidPriority.Malformed
The specified parameter "Priority" is not valid.
400
Priority参数格式不正确
MissingParameter
The input parameter "PortRange" that is mandatory for processing this request is not supplied.
400
PortRange参数未指定
InvalidSourceGroupId.Mismatch
NicType is required or NicType expects intranet.
403
需要明确NicType参数或者NicType必须为intranet
InvalidSourceCidrIp.Malformed
The specified parameter "SourceCidrIp" is not valid.
400
SourceCidrIp参数格式不正确
MissingParameter
The input parameter "SourceGroupId" or "SourceCidrIp" cannot be both blank.
403
SourceGroupId或者SourceCidrIp参数未指定
InvalidPolicy.Malformed
The specified parameter "Policy" is not valid.
400
Policy参数格式不正确
InvalidNicType.ValueNotSupported
The specified NicType does not exist.
400
NicType指定的值不支持
AuthorizationLimitExceed
The limit of Authorization in one security group reachs.
403
安全组授权规则数达到上限
InvalidParamter.Conflict
The specified SecurityGroupId should be different from the SourceGroupId.
403
SecurityGroupId和SourceGroupId为同一个安全组
InvalidSourceGroupId.Mismatch
SourceGroupOwnerUserAccount is required.
403
指定的其他用户的SourceGroup但是没有指定SourceGroupOwnerUserAccount
InvalidSourceGroupId.Mismatch
Specified security group and source group are not in the same VPC.
403
指定的安全组和源安全组不属于同一个vpc
InvalidSourceGroupOwnerUserAccount.Mismatch
The specified SourceGroupId is not belong to the SourceGroupOwnerUserAccount
403
指定的SourceGroup不属于SourceGroupOwnerUserAccount指定的用户
InvalidSourceGroupId.NotFound
The SourceGroupId provided does not exist in our records.
404
指定的SourceGroup未找到
示例
请求示例
授权其他安全组的访问权限
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&SourceGroupId=sg-1651FBB64
&SourceGroupOwnerAccount=test@aliyun.com
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
授权指定网段/IP地址的访问权限
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&SourceCidrIp=0.0.0.0/0
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
返回示例
【点击图片进入下一页或下一篇】
查询安全组规则
描述
查询安全组详情,包括安全权限控制。
请求参数
名称 |
类型 |
是否必须 |
描述 |
Action
String
是
系统规定参数,取值:DescribeSecurityGroupAttribute
SecurityGroupId
String
是
目标安全组 ID
RegionId
String
是
目标安全组所属 Region ID
NicType
String
否
网络类型,取值:internet | intranet,默认值为 internet
Direction
String
否
授权方向,取值:egress|ingress|all,默认值为all
返回参数
名称 |
类型 |
描述 |
SecurityGroupId
String
目标安全组 Id
SecurityGroupName
String
目标安全组名称
RegionId
String
地域 Id
Description
String
安全组描述信息
Permissions
PermissionType
由 PermissionType 组成的集合,表示安全组中的权限规则
VpcId
String
VpcId,如果有,表示这个安全组是 Vpc 类型的安全组,没有则表示是经典网络里的安全组。
错误码
错误代码 |
描述 |
Http 状态码 |
语义 |
InvalidRegionId.NotFound
The RegionId provided does not exist in our records.
404
指定 RegionId 未找到或者无权使用
MissingParameter
The input parameter "RegionId" that is mandatory for processing this request is not supplied.
400
RegionId 参数未指定
InvalidSecurityGroupId.NotFound
The SecurityGroupId provided does not exist in our records.
404
指定的 SecurityGroupId 未找到
MissingParameter
The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied.
400
SecurityGroupId 参数未指定
InvalidNicType.ValueNotSupported
The specified NicType does not exist.
400
NicType 参数指定的值不支持
示例
请求示例
https://ecs.aliyuncs.com/?Action=DescribeSecurityGroupAttribute
&SecurityGroupId=sg-F876FF7BA
&RegionId=cn-hangzhou
&<公共请求参数>
返回示例
【点击图片进入下一页或下一篇】
JSON格式
{
"RequestId": "1651FBB6-4FBF-49FF-A9F5-DF5D696C7EC6",
"RegionId": "cn-hangzhou",
"SecurityGroupId": "C0003E8B-B930-4F59-ADC0-0E209A9012B0",
"Description": "for demo",
"Permissions": {
"Permission": [{
"IpProtocol": "ALL",
"PortRange": "-1/-1",
"SourceGroupId": "8dsmf982",
"SourceGroupOwnerAccount": "test@aliyun.com"
"Policy": "Accept",
"NicType": "intranet"
},
{
"IpProtocol": "tcp",
"PortRange": "1/65535",
"SourceCidrIp": "0.0.0.0/0",
"Policy": "accept",
"NicType": "internet"
}]
}
}
所属专题: