全部产品
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
云服务器 ECS

AuthorizeSecurityGroup

更新时间:2017-11-24 13:44:20

描述

授权安全组入(In)方向的访问权限。

  • 可支持的授权策略为:accept(接受访问),drop (拒绝访问)。
  • 可支持不同的网络类型,如 NicType 可选择 internetintranet,分别表示公网或内网。VPC 类型的 ECS 实例,只支持 intranet 类型。
  • 单个安全组的授权规则最多为 100 条。
  • 安全组的优先级根据创建的时间降序排序匹配。
  • 规则优先级可选范围为 [1, 100],默认值为 1,即最高优先级。数字越大,代表优先级越低。
  • 相同优先级的授权规则,授权策略为 drop 的规则优先。
  • 组和组之间的授权只能在内网,即 NicType 只能选择 intranet
  • 安全组规则由两组可选参数中的一组组成:SourceGroupOwnerAccountSourceGroupIdIpProtocolPortRangeNicTypePolicy或者SourceCidrIpIpProtocolPortRangeNicTypePolicy。如匹配的规则已存在将会报错。
  • 支持两种授权方式:
    • 授权同一地域(经典网络)/同一 VPC(VPC) 内其他安全组对其的访问权限,此外经典网络还支持跨用户授权。
    • 授权指定某 IP 地址范围(CIDR 格式)对其的访问权限。

请求参数

名称 类型 是否必需 描述
Action String 系统规定参数。取值:AuthorizeSecurityGroup
SecurityGroupId String 目标安全组 ID。
RegionId String 目标安全组所属 Region ID。Region ID 的列表详见 地域列表 或者通过 API 接口 DescribeRegions 查看完整的地域列表。
IpProtocol String IP协议。不区分大小写,取值范围:
  • tcp
  • udp
  • icmp
  • gre
  • all:表示同时支持四种协议
PortRange String IP 协议相关的端口号范围。
  • 协议为 TCP、UDP 时默认端口号,取值范围为1~65535,使用斜线(/)隔开起始端口和终止端口。例如端口范围 “1/200” 表示端口号范围为 1~200,若输入“200/1”接口调用将报错。
  • 协议为 icmp 时端口号范围值:-1/-1
  • 协议为 gre 时端口号范围值:-1/-1
  • 协议为 all 时端口号范围值:-1/-1
SourceGroupId String 源安全组 ID。至少设置一项 SourceGroupId 或者 SourceCidrIp 参数,如果两项都设置,则默认授权 SourceCidrIp。如果指定了该字段且没有指定参数 SourceCidrIp,则参数 NicType 取值只能为: intranet
SourceGroupOwnerAccount String 跨用户安全组授权时,源安全组所属用户的阿里云账号。
  • 可选参数。
  • 如果当该参数及 SourceGroupOwnerID 均未设置,则默认为同一账户安全组间授权。
  • 如果已经设置参数 SourceCidrIp,则该参数无效。
SourceGroupOwnerId String 跨用户授权安全组规则时,源安全组所属用户阿里云账号 ID。
  • 可选参数。
  • 如果当该参数及 SourceGroupOwnerAccount 均未设置,则默认为同一账户安全组间授权。
  • 如果已经设置参数 SourceCidrIp,则该参数无效。
SourcePortRange String 源IP协议相关的端口号范围
  • 如果不填,则不限制源一侧的端口范围
  • 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。
  • 协议为icmp时端口号范围值为-1/-1;
  • gre协议时端口号范围值为-1/-1;
  • 协议为all时端口号范围值为-1/-1
DestCidrIp String 目的IP地址范围,可选参数,不填表示该规则适用于当前安全组下所有ip,否则则表示仅限该参数设定的ip范围。必须采用CIDR格式(如10.159.6.18/12)来指定IP地址范围。仅支持IPV4。
SourceCidrIp String 源 IP 地址范围。
  • 采用 CIDR 格式指定 IP 地址范围。
  • 其他支持的格式如 10.159.6.18/12,仅支持IPV4。
默认不受限,默认值: 0.0.0.0/0
Policy String 授权策略。取值范围:
  • accept:接受访问
  • drop:拒绝访问
默认值:accept
Priority String 授权策略优先级。取值范围:
  • [1, 100]
默认值:1
NicType String 网络类型。取值范围:
  • internet
  • intranet
当对安全组进行相互授权时(即指定了 SourceGroupId 且没有指定SourceCidrIp),则参数 NicType 取值只能为: intranet
默认值:internet
Description String 安全组规则的描述信息。长度为 [1, 512] 个字符。

返回参数

全是公共返回参数,详见公共参数

错误码

错误代码 错误信息 HTTP 状态码 说明
InvalidRegionId.NotFound The specified RegionId does not exist. 404 指定的 RegionId 不存在。RegionId 的列表详见 地域列表
InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist. 404 指定的SecurityGroupId不存在
OperationDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match. 400 IP协议不存在或者IP协议和端口不匹配
InvalidIpProtocol.Malformed The specified parameter “PortRange” is not valid. 400 IpProtocol参数格式不正确
InvalidPriority.Malformed The specified parameter “Priority” is not valid. 400 Priority参数格式不正确
InvalidSourceGroupId.Mismatch NicType is required or NicType expects intranet. 403 需要明确NicType参数或者NicType必须为intranet
InvalidSourceCidrIp.Malformed The specified parameter “SourceCidrIp” is not valid. 400 SourceCidrIp参数格式不正确
InvalidDestCidrIp.Malformed The specified parameter “DestCidrIp” is not valid. 400 DestCidrIp参数格式不正确
MissingParameter The input parameter “SourceGroupId” or “SourceCidrIp” cannot be both blank. 403 SourceGroupId或者SourceCidrIp参数未指定
InvalidPolicy.Malformed The specified parameter “Policy” is not valid. 400 Policy参数格式不正确
InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType指定的值不支持
InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId. 403 SecurityGroupId和SourceGroupId为同一个安全组
InvalidSourceGroupId.Mismatch Specified security group and source group are not in the same VPC. 400 指定的安全组和源安全组不属于同一个vpc
InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records. 404 指定的SourceGroup未找到
InvalidNicType.Mismatch Specified nic type conflicts with the authorization record. 400 指定网络类型与安全组规则不符合
AuthorizationLimitExceed The maximum number of authorization rules in the security group is exceeded. 403 安全组规则数量超限
InvalidSourceGroup.NotFound The specified SourceGroupId does not exist. 400 指定的源安全组不存在
InvalidPriority.ValueNotSupported The specified Priority is invalid. 400 Priority参数不合法
InvalidNetworkType.Mismatch The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic). 403 安全组规则中的两个安全组网络类型必须相同
InvalidSecurityGroupDiscription.Malformed The specified security group rule description is not valid. 400 安全组规则的描述信息无效,比如超过允许最大长度

示例

请求示例

  • 授权其他安全组的访问权限

    1. https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
    2. &SecurityGroupId=sg-F876FF7BA
    3. &SourceGroupId=sg-1651FBB64
    4. &SourceGroupOwnerAccount=test@aliyun.com
    5. &IpProtocol=tcp
    6. &PortRange=1/65535
    7. &<公共请求参数>
  • 授权指定网段/IP 地址的访问权限

    1. https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
    2. &SecurityGroupId=sg-F876FF7BA
    3. &SourceCidrIp=0.0.0.0/0
    4. &IpProtocol=tcp
    5. &PortRange=1/65535
    6. &<公共请求参数>

返回示例

XML格式

  1. <AuthorizeSecurityGroupResponse>
  2. <RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
  3. </AuthorizeSecurityGroupResponse>

JSON格式

  1. {
  2. "RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
  3. }
本文导读目录