インバウンドセキュリティグループルールを作成します。 作成したルールを使用して、他のデバイスからセキュリティグループ内のElastic Compute Service (ECS) インスタンスへのインバウンドトラフィックを許可または拒否できます。

説明

セキュリティグループ関連のAPIドキュメントでは、インバウンドトラフィックは、ソースデバイスによって送信され、宛先デバイスで受信されるトラフィックを指します。

この操作を呼び出すときは、次の項目に注意してください。

  • 各セキュリティグループのアウトバウンドおよびインバウンドセキュリティグループルールの総数は200を超えることはできません。
  • 優先度の有効な値は1から100の範囲です。 値が小さいほど、優先度が高くなります。
  • 複数のセキュリティグループルールの優先度が同じ場合、ドロップルールが優先されます。
  • ソースデバイスは、SourceCidrIp、Ipv6SourceCidrIp、またはSourcePrefixListIdで指定されたCIDRブロックに属するか、SourceGroupIdで指定されたセキュリティグループ内のECSインスタンスにすることができます。
  • 作成するルールが既存のルールと一致する場合、AuthorizeSecurityGroup操作が呼び出された後、ルールは作成されません。
  • 次のパラメータグループのいずれかを指定することで、セキュリティグループルールを決定できます。 1つのパラメーターのみを指定してセキュリティグループルールを決定することはできません。
    • 特定のCIDRブロックからのアクセスを制御するインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange (オプション) 、NicType、Policy、およびSourceCidrIp。 クラシックネットワークのセキュリティグループの場合、NicTypeパラメーターをインターネットまたはイントラネットに設定できます。 仮想プライベートクラウド (VPC) のセキュリティグループの場合、NicTypeパラメーターをイントラネットに設定する必要があります。
      
              https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
              &SecurityGroupId=sg-F876FF7**
              &SourceCidrIp=10.0.0.0/8
              &IpProtocol=tcp
              &PortRange=22/22
              &NicType=intranet
              &ポリシー=受け入れる
              &<Common request parameters>
              
    • 別のセキュリティグループへのアクセスを制御するインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange (オプション) 、NicType、Policy、SourceGroupOwnerAccount、およびSourceGroupId。 この場合、NicTypeパラメーターをイントラネットに設定する必要があります。 クラシックネットワーク内のセキュリティグループ間の相互アクセスの場合、同じリージョン内の別のセキュリティグループがセキュリティグループにアクセスすることを許可または拒否できます。 セキュリティグループへのアクセスを許可されているセキュリティグループは、独自のAlibaba CloudアカウントまたはSourceGroupOwnerAccountパラメーターで指定された別のAlibaba Cloudアカウントに属することができます。 VPC内のセキュリティグループ間の相互アクセスの場合、同じVPC内の別のセキュリティグループがセキュリティグループにアクセスすることを許可または拒否できます。
      
              https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
              &SecurityGroupId=sg-F876FF7**
              &SourceGroupId=sg-1651FBB**
              &SourceGroupOwnerAccount=test@aliyun.com
              &IpProtocol=tcp
              &PortRange=22/22
              &NicType=intranet
              &ポリシー=ドロップ
              &<Common request parameters>
              
    • プレフィックスリストが参照されるインバウンドセキュリティグループルールを指定するために使用されるパラメーター: IpProtocol、PortRange、SourcePortRange (オプション) 、NicType、Policy、およびSourcePrefixListId。 この場合、プレフィックスリストはVPCのセキュリティグループのみをサポートします。 NicTypeはイントラネットに設定する必要があります。
      
              https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
              &SecurityGroupId=sg-F876FF7**
              &SourcePrefixListId=pl-x1j1k5ykzqlixdcy ****
              &SourceGroupOwnerAccount=test@aliyun.com
              &IpProtocol=tcp
              &PortRange=22/22
              &NicType=intranet
              &ポリシー=ドロップ
              &<Common request parameters>
             
  • セキュリティグループルールの設定例については、「異なるユースケースのセキュリティグループ」および「セキュリティグループ5組ルール」をご参照ください。

デバッグ

OpenAPI Explorer は署名値を自動的に計算します。 この操作は、OpenAPI Explorer で呼び出すことを推奨します。 OpenAPI Explorer は、さまざまな SDK に対して操作のサンプルコードを動的に生成します。

リクエストパラメーター

パラメーター データ型 必須/任意 説明
操作 String 必須 AuthorizeSecurityGroup

実行する操作です。 値をAuthorizeSecurityGroupに設定します。

RegionId String 必須 cn-hangzhou

セキュリティグループのリージョン ID です。 DescribeRegions を呼び出して、最新のリージョンリストをクエリできます。

SecurityGroupId String 必須 sg-bp67acfmxazb4p****

送信先セキュリティグループの ID 。

IpProtocol String 必須 all

トランスポート層プロトコル。 このパラメーターの値は大文字と小文字を区別します。 設定可能な値は以下のとおりです。

  • tcp
  • udp
  • icmp
  • gre
  • all:すべてのプロトコルがサポートされています。
IpProtocolは、IPv4アドレスに対してのみicmpに設定できます。
PortRange String 必須 22/22

トランスポート層プロトコルに対応する宛先ポートの範囲。 設定可能な値は以下のとおりです。

  • IpProtocolパラメーターがtcpまたはudpに設定されている場合、ポート番号の範囲は1〜65535です。 開始ポート番号と終了ポート番号はスラッシュ (/) で区切ります。 例: 1/200。
  • IpProtocolパラメーターがicmpに設定されている場合、ポート番号の範囲は-1/-1で、すべてのポートを示します。
  • IpProtocolパラメーターがgreに設定されている場合、ポート番号の範囲は-1/-1で、すべてのポートを示します。
  • IpProtocolパラメーターがallに設定されている場合、ポート番号の範囲は-1/-1で、すべてのポートを示します。

詳細については、「アプリケーションで使用される共通ポート」をご参照ください。

SourceGroupId String 任意 sg-bp67acfmxazb4p****

送信元セキュリティグループの ID SourceGroupIdSourceCidrIpの少なくとも1つを指定する必要があります。

  • SourceGroupIdが指定されているが、SourceCidrIpが指定されていない場合、NicTypeパラメーターをintranetに設定する必要があります。
  • SourceGroupIdSourceCidrIpの両方が指定されている場合、SourceCidrIpが優先されます。

次の项目に注意してください。

  • 高度なセキュリティグループの場合、セキュリティグループは承認オブジェクトとしてサポートされません。
  • 基本セキュリティグループごとに、最大20のセキュリティグループが承認オブジェクトとしてサポートされています。
SourceGroupOwnerId Long 任意 1234567890

アカウント間でセキュリティグループルールを設定したときに、ソースセキュリティグループを管理するAlibaba CloudアカウントのID。

  • SourceGroupOwnerIdSourceGroupOwnerAccountの両方が空の場合、アカウント内の別のセキュリティグループのアクセス許可が設定されます。
  • SourceCidrIpが指定されている場合、SourceGroupOwnerIdパラメーターは無視されます。
SourceGroupOwnerAccount String 任意 test@aliyun.com

アカウント間でセキュリティグループルールを設定した場合に、ソースセキュリティグループを管理するAlibaba Cloudアカウント。

  • SourceGroupOwnerAccountSourceGroupOwnerIdの両方が空の場合、アカウント内の別のセキュリティグループのアクセス許可が設定されます。
  • SourceCidrIpが指定されている場合、SourceGroupOwnerAccountパラメーターは無視されます。
SourceCidrIp String 任意 10.0.0.0/8

アクセスを制御するソースIPv4 CIDRブロック。 CIDRブロックとIPv4アドレスがサポートされています。

このパラメーターはデフォルトで空となります。

Ipv6SourceCidrIp String 任意 2001:250:6000::***

アクセスを制御するソースIPv6 CIDRブロック。 CIDRブロックとIPv6アドレスがサポートされています。

VPCのIPv6アドレスのみがサポートされています。 Ipv6SourceCidrIpとSourceCidrIpの両方を指定することはできません。

このパラメーターはデフォルトで空となります。

SourcePrefixListId String 任意 pl-x1j1k5ykzqlixdcy ****

アクセスを制御するソースプレフィックスリストのID。 DescribePrefixListsを呼び出して、使用可能なプレフィックスリストのIDを照会できます。

次の项目に注意してください。

  • セキュリティグループがクラシックネットワークにある場合、セキュリティグループルールでプレフィックスリストを参照することはできません。 セキュリティグループおよびプレフィックスリストの制限については、「制限」の「セキュリティグループの制限」をご参照ください。
  • SourceCidrIpIpv6SourceCidrIp、またはSourceGroupIdパラメーターを指定した場合、このパラメーターは無視されます。
SourcePortRange String 任意 22/22

トランスポート層プロトコルに対応するソースポートの範囲。 設定可能な値は以下のとおりです。

  • IpProtocolパラメーターがtcpまたはudpに設定されている場合、ポート番号の範囲は1〜65535です。 開始ポート番号と終了ポート番号はスラッシュ (/) で区切ります。 例: 1/200。
  • IpProtocolパラメーターがicmpに設定されている場合、ポート番号の範囲は-1/-1で、すべてのポートを示します。
  • IpProtocolパラメーターがgreに設定されている場合、ポート番号の範囲は-1/-1で、すべてのポートを示します。
  • IpProtocolパラメーターがallに設定されている場合、ポート番号の範囲は-1/-1で、すべてのポートを示します。
DestCidrIp String 任意 10.0.0.0/8

宛先IPv4 CIDRブロック。 CIDRブロックとIPv4アドレスがサポートされています。

このパラメーターはデフォルトで空となります。

Ipv6DestCidrIp String 任意 2001:250:6000::***

宛先IPv6 CIDRブロック。 CIDRブロックとIPv6アドレスがサポートされています。

VPCのIPv6アドレスのみがサポートされています。 Ipv6DestCidrIpとDestCidrIpの両方を指定することはできません。

このパラメーターはデフォルトで空となります。

Policy String 任意 accept

権限付与ポリシー。 設定可能な値は以下のとおりです。

  • accept: アクセスを許可します。
  • drop: アクセスを拒否し、応答を返しません。 この場合、リクエストがタイムアウトするか、接続を確立できません。
Priority String 任意 1

セキュリティグループルールの優先順位。 値が小さいほど、優先度が高くなります。 Valid values: 1 to 100.

デフォルト値:1。

NicType String 任意 イントラネット

セキュリティグループがクラシックネットワークにある場合のセキュリティグループルールのネットワークインターフェイスコントローラー (NIC) タイプ。 設定可能な値は以下のとおりです。

  • インターネット: パブリックNIC
  • イントラネット: 内部NIC
    • セキュリティグループがVPCにある場合、このパラメーターはデフォルトでイントラネットに設定されており、変更することはできません。
    • セキュリティグループ間のアクセスを設定するときにSourceGroupIdのみを指定する場合、このパラメーターはイントラネットに設定する必要があります。

既定値 :internet.

ClientTokend String 任意 123e4567-e89b-12d3-a456-426655440000

リクエストのべき等性を保証するために使用されるクライアントトークンです。 クライアントを使用して値を生成できますが、異なるリクエスト間で一意であることを確認する必要があります。 ClientToken値にはASCII文字のみを使用でき、長さは64文字を超えることはできません。 詳細については、「べき等性を確保する方法」をご参照ください。

説明 String 任意 これは説明です。

セキュリティグループルールの説明。 説明の長さは1 ~ 512文字である必要があります。

レスポンスパラメーター

パラメーター データ型 説明
RequestId String 473469C7-AA6F-4DC5-B3DB-A3DC0DE3C83E

リクエストの ID です。

リクエストの例

https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-bp67acfmxazb4p ****
&SourceCidrIp=10.0.0.0/8
&IpProtocol=tcp
&PortRange=22/22
&NicType=イントラネット
&ポリシー=受け入れる
&<共通リクエストパラメーター>

正常に処理された場合のレスポンス例

XML 形式

HTTP/1.1 200 OK
Content-Type:application/xml

<AuthorizeSecurityGroupResponse>
    <RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
</AuthorizeSecurityGroupResponse>

JSON 形式

HTTP/1.1 200 OK
Content-Type:application/json

{
  "RequestId" : "CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}

エラーコード

HTTP ステータスコード エラーコード エラーメッセージ 説明
400 OperationDenied 指定された IpProtocol が存在しないか、IpProtocol と PortRange が対応していません。 指定されたIpProtocolパラメーターが存在しないか、指定されたポート範囲と一致しない場合に返されるエラーメッセージ。
400 InvalidIpProtocol.Malformed 指定されたパラメータ "PortRange" は無効です。 指定されたIpProtocolまたはPortRangeパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidSourceCidrIp. 不正 指定されたパラメーター "SourceCidrIp" は無効です。 指定されたSourceCidrIpパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidPolicy.Malformed 指定されたパラメーター "Policy" は無効です。 指定されたPolicyパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidNicType.ValueNotSupported 指定されたNicTypeは存在しません。 指定されたNicTypeパラメーターが存在しない場合に返されるエラーメッセージ。
400 InvalidNicType.Mismatch 指定された NIC タイプが承認レコードと一致していません。 指定されたNICタイプがセキュリティグループルールの承認オブジェクトと一致しない場合に返されるエラーメッセージ。
400 InvalidSourceGroupId.Mismatch 指定されたセキュリティグループとソースグループは、同じ VPC にありません。 送信先セキュリティグループと送信元セキュリティグループが同じVPCに属していない場合に返されるエラーメッセージ。
400 InvalidSourceGroup.NotFound 指定されたソースセキュリティグループが存在しません。 指定されたインバウンドセキュリティグループルールが存在しない場合、または関連するパラメーターが指定されていない場合に返されるエラーメッセージ。
400 VPCDisabled VPCでSecurityGroupを使用できません。 VPCがセキュリティグループをサポートしていない場合に返されるエラーメッセージ。
400 InvalidPriority.Malformed パラメーター Priority が無効です。 指定されたPriorityパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidPriority.ValueNotSupported パラメーター Priority が無効です。 指定されたPriorityパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidNicType.ValueNotSupported 指定されたNicTypeは無効です。 指定されたNicTypeパラメーターが存在しない場合に返されるエラーメッセージ。
400 InvalidSecurityGroupDiscription.Malformed 指定されたセキュリティグループルールの説明は無効です。 指定された Description パラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidSecurityGroup.InvalidNetworkType 指定されたセキュリティグループネットワークタイプはこの操作に対応していません。セキュリティグループネットワークタイプを確認してください。 VPC セキュリティグループの場合は、ClassicLink を有効にする必要があります。 セキュリティグループが現在のネットワークタイプの場合、操作がサポートされていない場合に返されるエラーメッセージ。 ネットワークタイプがVPCの場合、ClassicLinkを有効にする必要があります。
400 MissingParameter.Source パラメーターSourceCidrIp、SourceGroupId、またはSourcePrefixListIdのいずれかを指定する必要があります。 SourceCidrIp、SourceGroupId、およびSourcePrefixListIdパラメーターがすべて空の場合に返されるエラーメッセージ。 これらのパラメータの少なくとも1つを指定する必要があります。
400 InvalidIpProtocol.ValueNotSupported パラメーター IpProtocol は、大文字と小文字を区別しない TCP、UDP、ICMP、GRE、または All で指定する必要があります。 指定されたIpProtocolパラメーターが無効な場合に返されるエラーメッセージ。 このパラメーターの有効な値は、tcp、udp、icmp、gre、およびallです。
400 InvalidSecurityGroupId.Malformed 指定されたパラメータ "SecurityGroupId" は無効です。 指定されたSecurityGroupIdパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParamter.Conflict 指定されたSourceCidrIpはDestCidrIpとは異なるはずです。 SourceCidrIpの値がDestCidrIpの値と同じである場合に返されるエラーメッセージ。
400 InvalidSourcePortRange.Malformed 指定されたパラメーター "SourcePortRange" は無効です。 指定されたSourcePortRangeパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParam.SourceIp %s 指定されたSourceCidrIpパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParam.DestIp %s 指定されたDestCidrIpパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParam.Ipv6DestCidrIp %s 指定されたIpv6DestCidrIpパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParam.Ipv6SourceCidrIp %s 指定されたIpv6SourceCidrIpパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParam.Ipv4ProtocolConflictWithIpv6Address %s 指定されたパラメーターが無効な場合に返されるエラーメッセージです。 IPv4プロトコルでIPv6アドレスを誤って入力したかどうかを確認します。
400 InvalidParam.Ipv6ProtocolConflictWithIpv4Address %s 指定されたパラメーターが無効な場合に返されるエラーメッセージです。 誤ってIPv6プロトコルでIPv4アドレスを入力したかどうかを確認します。
400 ILLEGAL_IPV6_CIDR %s 指定された IPv6 アドレスが無効な場合に返されるエラーメッセージ。
400 InvalidDestCidrIp.Malformed 指定されたパラメータDestCidrIp は無効です。 指定されたDestCidrIpパラメーターが無効な場合に返されるエラーメッセージ。
400 InvalidParam.PrefixListAddressFamilyMismatch 指定されたプレフィックスリストのアドレスファミリが、指定されたCidrIpと一致しません。 指定されたプレフィックスリストのアドレスファミリが指定されたCIDRブロックのアドレスファミリと一致しない場合に返されるエラーメッセージ。
400 NotSupported.ClassicNetworkPrefixList セキュリティグループのネットワークタイプがクラシックの場合、プレフィックスリストはサポートされません。 クラシックネットワークのセキュリティグループがプレフィックスリストをサポートしていない場合に返されるエラーメッセージ。
500 InternalError 不明なエラーにより、リクエスト処理が失敗しました。 内部エラーが発生した場合に返されるエラーメッセージです。 しばらくしてから再試行します。 エラーが解決しない場合は、チケットを起票してください。
500 InvalidGressFlow.Malformed 指定されたパラメーターGressFlowは無効です。internalによって引き起こされ、もう一度呼び出してみてください。 指定されたGressFlowパラメーターが無効な場合に返されるエラーメッセージ。
403 InvalidSourceGroupId.Mismatch NicType は必須です。イントラネットを必要とします。 NicTypeパラメーターが指定されていないか、イントラネットに設定されていない場合に返されるエラーメッセージ。
403 MissingParameter 入力パラメーター "SourceGroupId" または "SourceCidrIp" は両方とも空白にすることはできません。 SourceGroupIdパラメーターとSourceCidrIpパラメーターの両方が空の場合に返されるエラーメッセージ。
403 AuthorizationLimitExceed セキュリティグループ内の権限付与レコードの制限に達します。 セキュリティグループ内のルールの最大数に達した場合に返されるエラーメッセージ。
403 InvalidParamter.Conflict SecurityGroupId には、SourceGroupId と異なる値を指定する必要があります。 宛先セキュリティグループが送信元セキュリティグループと同じである場合に返されるエラーメッセージ。
403 InvalidNetworkType.Mismatch 指定された SecurityGroup ネットワークタイプは、SourceGroup ネットワークタイプ (vpc またはクラシック) と同じでなければなりません。 宛先セキュリティグループのネットワークタイプが送信元セキュリティグループのネットワークタイプと異なる場合に返されるエラーメッセージ。
403 InvalidNetworkType.Conflict 指定された SecurityGroup ネットワークタイプは、SourceGroup ネットワークタイプ (vpc またはクラシック) と同じでなければなりません。 宛先セキュリティグループのネットワークタイプが送信元セキュリティグループのネットワークタイプと異なる場合に返されるエラーメッセージ。
403 InvalidOperation.ResourceManagedByCloudProduct %s クラウドサービスが管理するセキュリティグループを変更できない場合に返されるエラーメッセージ。
403 LimitExceed.PrefixListAssociationResource プレフィックスリストに関連付けられているリソースの数が制限を超えています。 プレフィックスリストに関連付けることができるリソースの最大量に達した場合に返されるエラーメッセージ。
404 InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist. 指定されたセキュリティグループがこのアカウント内に存在しない場合に返されるエラーメッセージ。 セキュリティグループ ID が正しいか確認してください。
404 InvalidSourceGroupId.NotFound 指定されたSourceGroupIdはレコードに存在しません。 指定されたSourceGroupIdパラメーターが存在しない場合に返されるエラーメッセージ。
404 InvalidPrefixListId.NotFound 指定されたプレフィックスリストが見つかりませんでした。 指定されたプレフィックスリストが存在しない場合に返されるエラーメッセージ。
404 NotSupported.GrayFunction プレフィックスリストはグレースケール関数であり、現在サポートされていません。 プレフィックスリスト機能が招待プレビューになっている間は、この操作がサポートされていない場合に返されるエラーメッセージ。

エラーコードリストについては、「API エラーセンター」をご参照ください。