通过阿里云CLI调用AuthorizeSecurityGroup API增加一条安全组入方向规则。

背景信息

您可以调用AuthorizeSecurityGroup接口增加一条安全组入方向规则,指定安全组入方向的访问权限,允许或者拒绝其他设备发送入方向流量到安全组里的实例。相关API文档请参见AuthorizeSecurityGroup

通过阿里云CLI调用API时,不同数据类型的请求参数取值必须遵循格式要求,详情请参见参数格式说明

接口说明

安全组的API文档中,流量的发起端为源端(Source),数据传输的接收端为目的端(Dest)。

调用该接口时,您需要了解:

  • 出方向和入方向安全组规则总和不能超过200条。
  • 安全组规则优先级(Priority)可选范围为1~100。数字越小,代表优先级越高。
  • 优先级相同的安全组规则,以拒绝访问(drop)的规则优先。
  • 源端设备可以是指定的IP地址范围(SourceCidrIp),也可以是其他安全组(SourceGroupId)中的ECS实例。
  • 以下任意一组参数可以确定一条安全组规则,只指定一个参数无法确定一条安全组规则。如果匹配的安全组规则已存在,此次AuthorizeSecurityGroup调用失败。
    • 设置指定IP地址段的访问权限。此时,经典网络类型安全组的网卡类型(NicType)可设置公网(internet)和内网(intranet)。VPC类型安全组的网卡类型(NicType)只可设置内网(intranet)。如以下请求示例:IpProtocol、PortRange、(可选)SourcePortRange、NicType、Policy和SourceCidrIp。
      
              https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
              &SecurityGroupId=sg-F876FF7**
              &SourceCidrIp=10.0.0.0/8
              &IpProtocol=tcp
              &PortRange=22/22
              &NicType=intranet
              &Policy=accept
              &<公共请求参数>
              
    • 设置其他安全组的访问权限。此时,网卡类型(NicType)只能为内网(intranet)。经典网络类型安全组之间互访时,可以设置同一地域中其他安全组对您的安全组的访问权限。这个安全组可以是您的也可以是其他阿里云账户(SourceGroupOwnerAccount)的。VPC类型安全组之间互访时,可以设置同一VPC内其他安全组访问该安全组的访问权限。如以下请求示例:IpProtocol、PortRange、(可选)SourcePortRange、NicType、Policy、SourceGroupOwnerAccount和SourceGroupId。
      
              https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
              &SecurityGroupId=sg-F876FF7**
              &SourceGroupId=sg-1651FBB**
              &SourceGroupOwnerAccount=test@aliyun.com
              &IpProtocol=tcp
              &PortRange=22/22
              &NicType=intranet
              &Policy=drop
              &<公共请求参数>
             
  • 更多关于安全组规则的设置示例,请参见应用案例安全组五元组规则介绍

CLI请求示例

  1. 通过DescribeSecurityGroups API查询您需要添加入方向规则的安全组ID。

    本示例中,通过安全组名称namedemo查询安全组ID。

    aliyun ecs DescribeSecurityGroups --RegionId cn-hangzhou --SecurityGroupName namedemo --DryRun false --output cols=SecurityGroupId rows=SecurityGroups.SecurityGroup[]
    返回结果示例:
    SecurityGroupId
    ---------------
    sg-bp1i4c0xgqxadew2****
  2. 为安全组增加入方向规则。

    本示例中,为安全组sg-bp1i4c0xgqxadew2****增加传输层协议为tcp、开放80端口、授权对象为0.0.0.0/0、优先级为1的规则。

    aliyun ecs AuthorizeSecurityGroup --RegionId cn-hangzhou --SecurityGroupId sg-bp1i4c0xgqxadew2**** --IpProtocol tcp --PortRange 80/80 --SourceCidrIp 0.0.0.0/0 --Priority 1

执行结果

{
        "RequestId": "435DAD23-DFB4-49D3-A1A7-271100CB4982"
}