全部产品
云服务器 ECS

ModifySecurityGroupPolicy

更新时间:2017-09-13 14:33:52   分享:   

描述

更改安全组内网络连通策略。安全组内默认是网络互通的,这个接口可以改变这个行为,让安全组内实例之间网络隔离。一旦通过这个接口把安全组内网络设置为隔离,那么会遵循“隔离优先的原则“。关于当前安全组内网络连通的策略,可以通过查询安全组规则接口查看,该接口增加了InnerAccessPolicy属性来显示当前安全组内网络连通策略,Accept:表示互通,Drop:表示隔离。

关于安全组内网络隔离的几点说明:

  1. 隔离的粒度是网卡而不是ECS实例。如果ECS实例挂载了多块网卡,这一点需要特别注意。
  2. 不会改变默认的网络连通策略。安全组默认的网络连通策略仍然是同一安全组内的实例之间网络互通,不同安全组的实例之间默认内网不通。新的功能只是为您提供了一种手段来修改网络连通策略,因此新功能不会对您既有安全组或者对您新建的安全组造成任何影响。
  3. 隔离优先的原则。隔离优先有两层含义:
    • 被设置为组内“隔离”的安全组,优先级要高于“互通”的安全组,所以如果有两个实例属于被设置为“隔离”的安全组,那么这两个实例间网络一定不可达,不管是否它们还同时属于“互通”的安全组。
    • 被设置为组内“隔离”的安全组,优先级要高于用户定义的所有ACL,所以被隔离的安全组,组内实例间网络一定是不可达,即使增加允许访问的ACL也不起作用。
  4. 网络隔离只限于当前组内的实例(网卡)。假设当前安全组是G1,组内网络设置为“隔离”,vm1和vm2属于G1,vm2和vm3属于G2,G2的组内网络互通,那么vm1和vm2网络不可达,但vm2和vm3之间网络可达。

请求参数

名称 类型 是否必须 描述
Action String 系统规定参数,取值:ModifySecurityGroupPolicy
SecurityGroupId String 要修改的安全组ID
RegionId String 安全组所属Region ID
InnerAccessPolicy String 安全组内网络连通策略,可选值:Accept,Drop

返回参数

名称 类型 描述
RequestId String 返回本次请求的RequestId

错误码

错误代码 描述 Http状态码 语义
InvalidPolicy.Malformed The InnerAccessPolicy is invalid. Only ‘Accept’ and ‘Drop’ are supported. Ignore case. 400 InnerAccessPolicy没有输入或者不合法,只允许输入Accept或者Drop
InvalidSecurityGroupId.Malformed The SecurityGroupId is invalid. Only letters, numbers and underscores are supported. Maximum length is 100 characters. 400 SecurityGroupId没有输入或者不合法
InvalidRegionId.NotFound The specified RegionId does not exist. 404 指定的RegionId不存在

示例

请求示例

    1. https://ecs.aliyuncs.com/?Action=ModifySecurityGroupPolicy
    2. &RegionId=cn-hangzhou
    3. &SecurityGroupId=sg-1133aa
    4. &InnerAccessPolicy=Drop
    5. &<公共请求参数>

返回示例

XML格式

  1. <ModifySecurityGroupPolicyResponse>
  2. <RequestId>CEF72CEB-54B6-4AE8-B225-F876FF7BA984</RequestId>
  3. </ModifySecurityGroupPolicyResponse>

JSON格式

  1. {
  2. "RequestId": "CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
  3. }
本文导读目录
本文导读目录
以上内容是否对您有帮助?