全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
云服务器 ECS

AuthorizeSecurityGroup

更新时间:2017-09-13 14:33:37

描述

授权安全组入(In)方向的访问权限。

  • 可支持的授权策略为:accept(接受访问),drop (拒绝访问)。
  • 可支持不同的网络类型,如 NicType 可选择 internetintranet,分别表示公网或内网。VPC 类型的 ECS 实例,只支持 intranet 类型。
  • 单个安全组的授权规则最多为 100 条。
  • 安全组的优先级根据创建的时间降序排序匹配。
  • 规则优先级可选范围为 [1, 100],默认值为 1,即最高优先级。数字越大,代表优先级越低。
  • 相同优先级的授权规则,授权策略为 drop 的规则优先。
  • 组和组之间的授权只能在内网,即 NicType 只能选择 intranet
  • 安全组规则由两组可选参数中的一组组成:SourceGroupOwnerAccountSourceGroupIdIpProtocolPortRangeNicTypePolicy或者SourceCidrIpIpProtocolPortRangeNicTypePolicy。如匹配的规则已存在将会报错。
  • 支持两种授权方式:
    • 授权同一地域(经典网络)/同一 VPC(VPC) 内其他安全组对其的访问权限,此外经典网络还支持跨用户授权。
    • 授权指定某 IP 地址范围(CIDR 格式)对其的访问权限。

请求参数

名称 类型 是否必须 描述
Action String 系统规定参数。取值:AuthorizeSecurityGroup
SecurityGroupId String 目标安全组 ID。
RegionId String 目标安全组所属 Region ID。Region ID 的列表详见 地域列表 或者通过 API 接口 DescribeRegions 查看完整的地域列表。
IpProtocol String IP协议。不区分大小写,取值范围:
  • tcp
  • udp
  • icmp
  • gre
  • all:表示同时支持四种协议
PortRange String IP 协议相关的端口号范围。
  • 协议为 TCP、UDP 时默认端口号,取值范围为1~65535,使用斜线(/)隔开起始端口和终止端口。例如端口范围 “1/200” 表示端口号范围为 1~200,若输入“200/1”接口调用将报错。
  • 协议为 icmp 时端口号范围值:-1/-1
  • 协议为 gre 时端口号范围值:-1/-1
  • 协议为 all 时端口号范围值:-1/-1
SourceGroupId String 源安全组 ID。至少设置一项 SourceGroupId 或者 SourceCidrIp 参数,如果两项都设置,则默认授权 SourceCidrIp。如果指定了该字段且没有指定参数 SourceCidrIp,则参数 NicType 取值只能为: intranet
SourceGroupOwnerAccount String 跨用户安全组授权时,源安全组所属用户的阿里云账号。
  • 可选参数。
  • 如果当该参数及 SourceGroupOwnerID 均未设置,则默认为同一账户安全组间授权。
  • 如果已经设置参数 SourceCidrIp,则该参数无效。
SourceGroupOwnerId String 跨用户授权安全组规则时,源安全组所属用户阿里云账号 ID。
  • 可选参数。
  • 如果当该参数及 SourceGroupOwnerAccount 均未设置,则默认为同一账户安全组间授权。
  • 如果已经设置参数 SourceCidrIp,则该参数无效。
SourceCidrIp String 源 IP 地址范围。
  • 采用 CIDR 格式指定 IP 地址范围。
  • 其他支持的格式如 10.159.6.18/12,仅支持IPV4。
默认不受限,默认值: 0.0.0.0/0
Policy String 授权策略。取值范围:
  • accept:接受访问
  • drop:拒绝访问
默认值:accept
Priority String 授权策略优先级。取值范围:
  • [1, 100]
默认值:1
NicType String 网络类型。取值范围:
  • internet
  • intranet
当对安全组进行相互授权时(即指定了 SourceGroupId 且没有指定SourceCidrIp),则参数 NicType 取值只能为: intranet
默认值:internet
Description String 安全组规则的描述信息。长度为 [1, 512] 个字符。

返回参数

全是公共返回参数,详见公共参数

错误码

错误代码 描述 Http 状态码 语义
InvalidIpProtocol.Malformed The specified parameter PortRange is not valid. 400 IpProtocol 参数格式不正确。
InvalidNicType.Mismatch Specified nic type conflicts with the authorization record. 400 指定网络类型与安全组规则不符合。
InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType 指定的值不支持。
InvalidPolicy.Malformed The specified parameter Policy is not valid. 400 Policy 参数格式不正确。
InvalidPriority.Malformed The specified parameter Priority is not valid. 400 Priority 参数格式不正确。
InvalidPriority.ValueNotSupported The specified Priority is invalid. 400 Priority 参数不合法。
InvalidSecurityGroupDiscription.Malformed The specified security group rule description is not valid. 400 安全组规则的描述信息无效,比如超过允许最大长度。
InvalidSourceCidrIp.Malformed The specified parameter SourceCidrIp is not valid. 400 SourceCidrIp 参数格式不正确。
InvalidSourceGroup.NotFound The specified SourceGroupId does not exist. 400 指定的源安全组不存在。
InvalidSourceGroupId.Mismatch Specified security group and source group are not in the same VPC. 400 指定的安全组和源安全组不属于同一个 VPC。
OperationDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match. 400 IP 协议不存在或者 IP 协议和端口不匹配。
AuthorizationLimitExceed The maximum number of authorization rules in the security group is exceeded. 403 安全组规则数量超限。
InvalidNetworkType.Mismatch The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic). 403 安全组规则中的两个安全组网络类型必须相同。
InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId. 403 SecurityGroupId 和 SourceGroupId 为同一个安全组。
InvalidSourceGroupId.Mismatch NicType is required or NicType expects intranet. 403 需要明确 NicType 参数或者 NicType 必须为 intranet。
MissingParameter The input parameter SourceGroupId or SourceCidrIp cannot be both blank. 403 SourceGroupId 或者 SourceCidrIp 参数未指定。
InvalidRegionId.NotFound The specified RegionId does not exist. 404 指定的 RegionId 不存在。
InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist. 404 指定的 SecurityGroupId 不存在
InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records. 404 指定的 SourceGroup 未找到。

示例

请求示例

  • 授权其他安全组的访问权限

    1. https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
    2. &SecurityGroupId=sg-F876FF7BA
    3. &SourceGroupId=sg-1651FBB64
    4. &SourceGroupOwnerAccount=test@aliyun.com
    5. &IpProtocol=tcp
    6. &PortRange=1/65535
    7. &<公共请求参数>
  • 授权指定网段/IP 地址的访问权限

    1. https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
    2. &SecurityGroupId=sg-F876FF7BA
    3. &SourceCidrIp=0.0.0.0/0
    4. &IpProtocol=tcp
    5. &PortRange=1/65535
    6. &<公共请求参数>

返回示例

XML格式

  1. <AuthorizeSecurityGroupResponse>
  2. <RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
  3. </AuthorizeSecurityGroupResponse>

JSON格式

  1. {
  2. "RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
  3. }
本文导读目录