创建安全组
描述
新建一个安全组,通过安全组防火墙规则配置实现对一组实例的防火墙配置。一个安全组可包含多个实例。
新建的安全组,默认只打开组内实例之间的访问权限,其他访问权限全部关闭。若用户允许其他组的实例或来自互联网的访问,则可通过授权安全组权限接口来对安全组防火墙策略进行修改。
防火墙规则区分内网和公网。
每个用户最多可创建 100 个安全组。
创建专有网络类型的安全组,需要指定 VpcId。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:CreateSecurityGroup Regio
nId String 是 安全组所属 Region ID SecurityGroupName String 否 安全组名称,不填则为空,默认值为空,[2, 128] 英文或中文字符,必须以大小字母或中文开头,可包含数字,”.”,”_”或”-”,磁盘名称会展示在控制台。不能以 http:// 和 https:// 开头。 Des
cription String 否 安全组描述信息,[2, 256] 个字符。不能以 http:// 和 https:// 开头。 VpcId String 否 安全组所在的专有网络 ClientToken String 否 用于保证请求的幂等性。由客户端生成该参数值,要保证在不同请求间唯一,最大不值过 64 个 ASCII 字符。
具体参见附录:如何保证幂等性
返回参数
名称 | 类型 | 描述 | SecurityGroupId String 安全组 ID
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的 Regio
nId 不存在 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 缺少 Regio
nId 值(实际情况也可能是该用户无权使用此 Region) InvalidSecurityGroupName.Malformed Specified security group name is not valid. 400 指定的 SecurityGroupName 格式不合法 InvalidDes
cription.Malformed The specified parameter "Des
cription" is not valid. 400 指定的 Des
criptio
nName 格式不合法 QuotaExceed.SecurityGroup The security group quota exceeds. 403 安全组个数超过额度限制 InvalidVpcId.NotFound Specified VPC does not exist. 403 指定的 VPC 不存在
示例
请求示例
https://ecs.aliyuncs.com/?Action=CreateSecurityGroup
&RegionId=cn-hangzhou
&Description=for_demo
&<公共请求参数>
返回示例
授权安全组In方向的访问权限
描述
设定安全组In方向的访问权限。
可支持的授权策略为:accept(接受访问),drop (拒绝访问)。
可支持不同的网络类型,如NicType可选择internet或intranet,分别表示公网或内网。VPC类型的ECS实例,只支持intranet类型。
单个安全组的授权规则最多为100条。
安全组的优先级根据创建的时间降序排序匹配。
规则优先级可选范围为1-100,默认值为1,即最高优先级。数字越大,代表优先级越低。
相同优先级的授权规则,授权策略为drop的规则优先。
组和组之间的授权只能在内网,即NicType只能选择intranet。
安全组规则由两组可选参数中的一组组成:SourceGroupOwnerAccount、SourceGroupId、IpProtocol、PortRange、NicType、Policy或者SourceCidrIp、IpProtocol、PortRange、NicType、Policy。如匹配的规则已存在将会报错。
支持两种授权方式: 1、授权同一region(经典网络)/同一VPC(VPC)内其他安全组(允许跨用户授权)对其的访问权限;2、授权指定某IP地址范围(CIDR格式)对其的访问权限
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:AuthorizeSecurityGroup SecurityGroupId String 是 目标安全组编码 Regio
nId String 是 目标安全组所属Region ID IpProtocol String 是 IP协议,取值:tcp | udp | icmp | gre | all;
all表示同时支持四种协议 PortRange String 是 IP协议相关的端口号范围 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。 协议为icmp时端口号范围值为-1/-1; gre协议时端口号范围值为-1/-1; 协议为all时端口号范围值为-1/-1 SourceGroupId String 否 源安全组ID,SourceGroupId或者SourceCidrIp参数必须设置一项,如果两项都设置,则默认对SourceCidrIp授权。如果指定了该字段且没有指定SourceCidrIp,则NicType只能选择intranet SourceGroupOwnerAccount String 否 跨用户安全组授权时,源安全组所属用户的阿里云账号。该参数可选,如果未设置,则默认为同一账户安全组间授权。SourceCidrIp如果已经被设置,则该参数无效。 SourceCidrIp String 否 源IP地址范围(采用CIDR格式来指定IP地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12或10.159.6.186。仅支持IPV4。 Policy String 否 授权策略,参数值可为:accept(接受访问),drop (拒绝访问)
默认值为:accept Priority String 否 授权策略优先级,参数值可为:1-100
默认值为:1 NicType String 否 网络类型,取值: internet intranet; 默认值为internet
当对安全组进行相互授权时(即指定了SourceGroupId且没有指定SourceCidrIp),必须指定NicType为intranet
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的RegionId不存在 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 RegionId参数未指定 InvalidSecurityGroupId.NotFound The SecurityGroupId provided does not exist in our records. 404 指定的SecurityGroupId不存在 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId参数未指定 Operatio
nDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match. 400 IP协议不存在或者IP协议和端口不匹配 MissingParameter The input parameter "IpProtocol" that is mandatory for processing this request is not supplied. 400 IpProtocol参数未指定 InvalidIpProtocol.Malformed The specified parameter "PortRange" is not valid. 400 IpProtocol参数格式不正确 InvalidPriority.Malformed The specified parameter "Priority" is not valid. 400 Priority参数格式不正确 MissingParameter The input parameter "PortRange" that is mandatory for processing this request is not supplied. 400 PortRange参数未指定 InvalidSourceGroupId.Mismatch NicType is required or NicType expects intranet. 403 需要明确NicType参数或者NicType必须为intranet InvalidSourceCidrIp.Malformed The specified parameter "SourceCidrIp" is not valid. 400 SourceCidrIp参数格式不正确 MissingParameter The input parameter "SourceGroupId" or "SourceCidrIp" cannot be both blank. 403 SourceGroupId或者SourceCidrIp参数未指定 InvalidPolicy.Malformed The specified parameter "Policy" is not valid. 400 Policy参数格式不正确 InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType指定的值不支持 Authorizatio
nLimitExceed The limit of Authorization in one security group reachs. 403 安全组授权规则数达到上限 InvalidParamter.Co
nflict The specified SecurityGroupId should be different from the SourceGroupId. 403 SecurityGroupId和SourceGroupId为同一个安全组 InvalidSourceGroupId.Mismatch SourceGroupOwnerUserAccount is required. 403 指定的其他用户的SourceGroup但是没有指定SourceGroupOwnerUserAccount InvalidSourceGroupId.Mismatch Specified security group and source group are not in the same VPC. 403 指定的安全组和源安全组不属于同一个vpc InvalidSourceGroupOwnerUserAccount.Mismatch The specified SourceGroupId is not belong to the SourceGroupOwnerUserAccount 403 指定的SourceGroup不属于SourceGroupOwnerUserAccount指定的用户 InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records. 404 指定的SourceGroup未找到
示例
请求示例
授权其他安全组的访问权限
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&SourceGroupId=sg-1651FBB64
&SourceGroupOwnerAccount=test@aliyun.com
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
授权指定网段/IP地址的访问权限
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&SourceCidrIp=0.0.0.0/0
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
返回示例
查询安全组规则
描述
查询安全组详情,包括安全权限控制。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:DescribeSecurityGroupAttribute SecurityGroupId String 是 目标安全组 ID Regio
nId String 是 目标安全组所属 Region ID NicType String 否 网络类型,取值:internet | intranet,默认值为 internet Direction String 否 授权方向,取值:egress|ingress|all,默认值为all
返回参数
名称 | 类型 | 描述 | SecurityGroupId String 目标安全组 Id SecurityGroupName String 目标安全组名称 Regio
nId String 地域 Id Des
cription String 安全组描述信息 Permissions Permissio
nType 由 Permissio
nType 组成的集合,表示安全组中的权限规则 VpcId String VpcId,如果有,表示这个安全组是 Vpc 类型的安全组,没有则表示是经典网络里的安全组。
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定 Regio
nId 未找到或者无权使用 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 Regio
nId 参数未指定 InvalidSecurityGroupId.NotFound The SecurityGroupId provided does not exist in our records. 404 指定的 SecurityGroupId 未找到 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId 参数未指定 InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType 参数指定的值不支持
示例
请求示例
https://ecs.aliyuncs.com/?Action=DescribeSecurityGroupAttribute
&SecurityGroupId=sg-F876FF7BA
&RegionId=cn-hangzhou
&<公共请求参数>
返回示例
JSON格式
{
"RequestId": "1651FBB6-4FBF-49FF-A9F5-DF5D696C7EC6",
"RegionId": "cn-hangzhou",
"SecurityGroupId": "C0003E8B-B930-4F59-ADC0-0E209A9012B0",
"Description": "for demo",
"Permissions": {
"Permission": [{
"IpProtocol": "ALL",
"PortRange": "-1/-1",
"SourceGroupId": "8dsmf982",
"SourceGroupOwnerAccount": "test@aliyun.com"
"Policy": "Accept",
"NicType": "intranet"
},
{
"IpProtocol": "tcp",
"PortRange": "1/65535",
"SourceCidrIp": "0.0.0.0/0",
"Policy": "accept",
"NicType": "internet"
}]
}
}
查询安全组列表
描述
分页查询用户定义的所有安全组基本信息。每页的数量默认为10条,数据按照安全组ID降序排列。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:DescribeSecurityGroups Regio
nId String 是 地域 VpcId String 否 安全组所在的专有网络 Tag.n.Key String 否 标签 key,n 从 1 开始,最大为 5。
不允许为空字符串。 Tag.n.Value String 否 标签 value,n 从 1 开始,最大为 5。
允许为空字符串。 PageNumber Integer 否 当前页码,起始值为 1,默认值为 1 PageSize Integer 否 分页查询时设置的每页行数,最大值 50,默认值为 10
返回参数
名称 | 类型 | 描述 | TotalCount Integer 安全组的总数 PageNumber Integer 当前页码 PageSize Integer 每页行数 Regio
nId String 安全组所属地域 Id SecurityGroups SecurityGroupItemType 安全组信息,由 SecurityGroupItemType 组成的集合
错误码
错误代码 | 描述 | Http 状态码 | 语义 | MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 Regio
nId 参数未指定 InvalidParameter The specified parameter "PageNumber" is not valid. 400 指定的 PageNumber 参数不合法 InvalidParameter The specified parameter "PageSize" is not valid. 400 指定的 PageSize 参数不合法
示例
请求示例
https://ecs.aliyuncs.com/?Action=DescribeSecurityGroups
&RegionId=cn-hangzhou
&<公共请求参数>
返回示例
JSON格式
{
"RequestId": "94D38899-626D-434A-891F-7E1F77A81525",
"TotalCount": 4,
"PageSize": "10",
"RegionId": "cn-hangzhou",
"PageNumber": "1",
"SecurityGroups": {
"SecurityGroup": [{
"SecurityGroupId": "sg-F876FF7BA",
"Description": "TestByXcf"
},
{
"SecurityGroupId": "sg-086FFC27A",
"Description": "test00212"
},
{
"SecurityGroupId": "sg-BA4B7975B",
"Description": "cn-hangzhou test group"
},
{
"SecurityGroupId": "sg-35F20777C",
"Description": "cn-hangzhou test group"
}]
}
}
撤销安全组授权规则
描述
撤销安全组的访问权限支持两种方式:一是撤销本Region内(经典网络)/本VPC内(VPC)其他安全组采用指定协议通过指定端口对本安全组的授权规则;二是撤销IP网段采用指定协议通过指定端口访问本安全组,只有调用授权接口授权的权限条目才可以删除。
安全组规则由两组可选参数中的一组组成:SourceGroupOwnerAccount、SourceGroupId、IpProtocol、PortRange、NicType、Policy或者SourceCidrIp、IpProtocol、PortRange、NicType、Policy。如匹配的规则找不到将会报错。
RevokeSecurityGroup和RevokeSecurityGroupEgress的区别
这两个方法都是用来操作安全组规则的,但是有区别:
RevokeSecurityGroup 是用来撤销“入方向”的安全组规则,也就是“In”方向上的规则;
RevokeSecurityGroupEgress 是用来撤销“出方向”的安全组规则。
一般来说,前者的使用更多,您根据实际情况来选择一个方法即可。
类似的,AuthorizeSecurityGroup和AuthorizeSecurityGroupEgress也是这样,前者授权入方向的规则,后者授权出方向的规则。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:RevokeSecurityGroup SecurityGroupId String 是 目标安全组ID Regio
nId String 是 目标安全组所属Region ID IpProtocol String 是 IP协议,取值:tcp | udp | icmp | gre | all;
all表示同时支持四种协议 PortRange String 是 IP协议相关的端口号范围 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。 协议为icmp时端口号范围值为-1/-1; gre协议时端口号范围值为-1/-1; 协议为all时端口号范围值为-1/-1 SourceGroupId String 否 源安全组ID,SourceGroupId或者SourceCidrIp参数必须设置一项,如果两项都设置,则默认对SourceCidrIp授权。可以同时指定多个Group(最多10个),但必须采用逗号“,”分隔 SourceGroupOwnerAccount String 否 跨用户撤销安全组规则时,源安全组所属用户阿里云账号。该参数可选,如果未设置,则默认为同一账户安全组间撤销。SourceCidrIp如果已经被设置,则该参数无效。 SourceCidrIp String 否 源IP地址范围(采用CIDR格式来指定IP地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12或10.159.6.186 Policy String 否 授权策略,参数值可为:accept(接受访问),dro
p (拒绝访问)
默认值为:accept Priority String 否 授权策略优先级,参数值可为:1-100
默认值为:1 NicType String 否 网络类型,取值: internet intranet; 默认值为internet
当对安全组进行相互授权时(即指定了SourceGroupId且没有指定SourceCidrIp),必须指定NicType为intranet
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的RegionId不存在 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 RegionId参数未指定 InvalidSecurityGroupId.NotFound The SecurityGroupId provided does not exist in our records. 404 指定的SecurityGroupId不存在 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId参数未指定 InvalidIpProtocol.ValueNotSupported The specified IpProtocol does not exist. 400 IpProtocol参数指定的值不支持 MissingParameter The input parameter "IpProtocol" that is mandatory for processing this request is not supplied. 400 IpProtocol参数未指定 InvalidPriority.Malformed The specified parameter "Priority" is not valid. 400 Priority参数格式不正确 InvalidIpPortRange.Malformed The specified parameter "PortRange" is not valid. 400 PortRange格式不正确 MissingParameter The input parameter "PortRange" that is mandatory for processing this request is not supplied. 400 PortRange参数未指定 InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records. 404 指定的SourceGroupId不存在 InvalidSourceGroupId.Mismatch NicType is required or NicType expects intrnet. 403 需要明确NicType参数或者NicType必须为intranet InvalidSourceCidrIp.Malformed The specified parameter "SourceCidrIp" is not valid. 400 SourceCidrIp参数格式不正确 MissingParameter The input parameter "SourceGroupId" or "SourceCidrIp" cannot be both blank. 400 SourceGroupId或者SourceCidrIp参数未指定 InvalidPolicy.Malformed The specified parameter "Policy" is not valid. 400 Policy参数格式不正确 InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType指定的值不支持 InvalidSourceGroupId.Mismatch SourceGroupOwnerAccount is required 403 指定的其他用户的SourceGroup但是没有指定SourceGroupOwnerUserAccount InvalidSourceGroupOwnerUserAccount.Mismatch The specified SourceGroupId is not belong to the SourceGroupOwnerAccount 403 指定的SourceGroup不属于SourceGroupOwnerUserAccount指定的用户
示例
请求示例
https://ecs.aliyuncs.com/?Action=RevokeSecurityGroup
&SecurityGroupId=C0003E8B-B930-4F59-ADC0-0E209A9012B0
&SourceGroupId=sg-F876FF7BA
&SourceGroupOwnerAccount=test@aliyun.com
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
返回示例
JSON格式
{
"RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}
删除安全组
描述
用于删除一个指定的安全组。
只有组内不存在实例,或者没有被其他组的安全规则引用时才可以删除。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:DeleteSecurityGroup SecurityGroupId String 是 安全组 ID Regio
nId String 是 地域 Id
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的 Regio
nId 不存在或者未授权 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 Regio
nId 参数未指定 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId 参数未指定 DependencyViolation There is still instance(s) in the specified security group. 403 指定的安全组中仍旧包含实例 DependencyViolation The specified security group has been authorized in another one of this user account 403 指定安全组被本用户的其他安全组授权 DependencyViolation The specified security group has been authorized in another one of another user account 403 指定安全组被其他用户的其他安全组授权
示例
请求示例
https://ecs.aliyuncs.com/?Action=DeleteSecurityGroup
&SecurityGroupId=sg-F876FF7BA
&RegionId=cn-hangzhou
&<公共请求参数>
返回示例
XML格式
JSON格式
{
"RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}
修改安全组属性
描述
修改指定安全组的属性,包括修改安全组名称和描述。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:ModifySecurityGroupAttribute Regio
nId String 是 地域 ID SecurityGroupId String 是 安全组 ID SecurityGroupName String 否 安全组名称,不填则为空,默认值为空,[2, 128] 英文或中文字符,必须以大小字母或中文开头,可包含数字,”.”,”_”或”-”,安全组名称会展示在控制台。不能以 http:// 和 https:// 开头。 Des
cription String 否 安全组描述信息,[2, 256] 个字符。不能以 http:// 和 https:// 开头。
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的 Regio
nId 不存在 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 Regio
nId 参数未指定 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId 参数未指定 InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的 Regio
nId 不存在或者未授权 InvalidSecurityGroupName.Malformed Specified security group name is not valid. 400 指定的 SecurityGroupName 格式不合法 InvalidDes
cription.Malformed The specified parameter "Des
cription" is not valid. 400 指定的 Des
criptio
nName 格式不合法
示例
请求示例
https://ecs.aliyuncs.com/?Action=ModifySecurityGroupAttribute
&SecurityGroupId=sg-F876FF7BA
&RegionId=cn-hangzhou
&SecurityGroupName=NewName
&<公共请求参数>
返回示例
JSON格式
{
"RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}
添加安全组Out方向的访问规则
描述
设定安全组Out方向的访问权限。
可支持的授权策略为:accept(接受访问),drop(拒绝访问)。
可支持不同的网络类型,如NicType可选择internet或intranet,分别表示公网或内网。
单个安全组的授权规则最多为100条。
安全组的优先级根据创建的时间降序排序匹配。
组和组之间的授权只能在内网,即NicType只能选择intranet。
规则优先级可选范围为1-100,默认值为1,即最高优先级。数字越大,代表优先级越低。
相同优先级的授权规则,授权策略为drop的规则优先。
安全组规则由两组可选参数中的一组组成:DestGroupOwnerAccount、DestGroupId、IpProtocol、PortRange、NicType、Policy或者DestCidrIp、IpProtocol、PortRange、NicType、Policy。如匹配的规则已存在将会报错。
支持两种授权方式: 1、开放对同一region内其他安全组(允许跨用户授权)的访问权限;2、开放对指定某IP地址范围(CIDR格式)的访问权限
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:AuthorizeSecurityGroupEgress SecurityGroupId String 是 源安全组编码 Regio
nId String 是 源安全组所属Region ID IpProtocol String 是 IP协议,取值:tcp | udp | icmp | gre | all;
all表示同时支持四种协议 PortRange String 是 IP协议相关的端口号范围 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。 协议为icmp时端口号范围值为-1/-1; gre协议时端口号范围值为-1/-1; 协议为all时端口号范围值为-1/-1 DestGroupId String 否 同一Region内的目标安全组Id,DestGroupId或者DestCidrIp参数必须设置一项,如果两项都设置,则默认对DestCidrIp授权。如果指定了该字段且没有指定DestCidrIp,则NicType只能选择intranet DestGroupOwnerAccount String 否 跨用户安全组授权时,目标安全组所属用户阿里云账号。该参数可选,如果未设置,则默认为同一账户安全组间授权。DestCidrIp如果已经被设置,则该参数无效。 DestCidrIp String 否 目标IP地址范围(采用CIDR格式来指定IP地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12或10.159.6.186。仅支持IPV4。 Policy String 否 授权策略,参数值可为:accept(接受访问), drop (拒绝访问)
默认值为:accept Priority String 否 授权策略优先级,参数值可为:1-100
默认值为:1 NicType String 否 网络类型,取值: internet intranet; 默认值为internet
当对安全组进行相互授权时(即指定了DestGroupId且没有指定DestCidrIp),必须指定NicType为intranet
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的RegionId不存在 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 RegionId参数未指定 InvalidSecurityGroupId.NotFound The SecurityGroupId provided does not exist in our records. 404 指定的SecurityGroupId不存在 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId参数未指定 Operatio
nDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match. 400 IP协议不存在或者IP协议和端口不匹配 MissingParameter The input parameter "IpProtocol" that is mandatory for processing this request is not supplied. 400 IpProtocol参数未指定 InvalidIpProtocol.Malformed The specified parameter "PortRange" is not valid. 400 IpProtocol参数格式不正确 InvalidPriority.Malformed The specified parameter "Priority" is not valid. 400 Priority参数格式不正确 MissingParameter The input parameter "PortRange" that is mandatory for processing this request is not supplied. 400 PortRange参数未指定 InvalidDestGroupId.Mismatch NicType is required or NicType expects intrnet. 403 需要明确NicType参数或者NicType必须为intranet InvalidDestCidrIp.Malformed The specified parameter "DestCidrIp" is not valid. 400 DestCidrIp参数格式不正确 MissingParameter The input parameter "DestGroupId" or "DestCidrIp" cannot be both blank. 403 DestGroupId或者DestCidrIp参数未指定 InvalidPolicy.Malformed The specified parameter "Policy" is not valid. 400 Policy参数格式不正确 InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType指定的值不支持 Authorizatio
nLimitExceed The limit of Authorization in one security group reachs. 403 安全组授权规则数达到上限 InvalidParamter.Co
nflict The specified SecurityGroupId should be different from the DestGroupId. 403 SecurityGroupId和DestGroupId为同一个安全组 InvalidDestGroupId.Mismatch DestGroupOwnerUserAccount is required. 403 指定的其他用户的DestGroup但是没有指定DestGroupOwnerUserAccount InvalidDestGroupId.Mismatch Specified security group and destination group are not in the same VPC. 403 指定的安全组和目标安全组不属于同一个vpc InvalidDestGroupOwnerUserAccount.Mismatch The specified DestGroupId is not belong to the DestGroupOwnerUserAccount 403 指定的DestGroup不属于DestGroupOwnerUserAccount指定的用户 InvalidDestGroupId.NotFound The DestGroupId provided does not exist in our records. 404 指定的DestGroup未找到
示例
请求示例
配置对其他安全组的访问权限
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroupEgress
&SecurityGroupId=sg-94n63e80l
&IpProtocol=all
&DestGroupId=sg-94oi1r1bp
&PortRange=1/65535
&<公共请求参数>
授权对指定的IP地址范围的访问权限
https://ecs.aliyuncs.com/?Action=AuthorizeSecurityGroupEgress
&SecurityGroupId=sg-94n63e80l
&IpProtocol=all
&DestCidrIp=10.0.0.0/8
&PortRange=1/65535
&<公共请求参数>
返回示例
撤销安全组Out方向的访问规则
描述
撤销安全组出方向的访问规则。支持两种方式:一是本Region(经典网络)/本VPC(VPC)内采用指定协议通过指定端口访问其他安全组;二是采用指定协议通过指定端口访问IP地址范围,只有调用授权接口授权的权限条目才可以删除(参数值跟授权时的参数相同)。
安全组规则由两组可选参数中的一组组成:DestGroupOwnerAccount、DestGroupId、IpProtocol、PortRange、NicType、Policy或者DestCidrIp、IpProtocol、PortRange、NicType、Policy。如匹配的规则找不到将会报错。
请求参数
名称 | 类型 | 是否必须 | 描述 | Action String 是 系统规定参数,取值:RevokeSecurityGroupEgress SecurityGroupId String 是 源安全组ID Regio
nId String 是 源安全组所属Region ID IpProtocol String 是 IP协议,取值:tcp | udp | icmp | gre | all;
all表示同时支持四种协议 PortRange String 是 IP协议相关的端口号范围 协议为tcp、udp时默认端口号,取值范围为1~65535;例如“1/200”意思是端口号范围为1~200,若输入值为:“200/1”接口调用将报错。 协议为icmp时端口号范围值为-1/-1; gre协议时端口号范围值为-1/-1; 协议为all时端口号范围值为-1/-1 DestGroupId String 否 授权同一Region内的目标安全组,SourceGroupId或者SourceCidrIp参数必须设置一项,如果两项都设置,则默认对SourceCidrIp授权。可以同时指定多个Group(最多10个),但必须采用逗号“,”分隔 DestGroupOwnerAccount String 否 希望跨用户撤销安全组规则的目标安全组所属用户阿里云账号。该参数可选,如果未设置,则默认为同一账户安全组间撤销。DestCidrIp如果已经被设置,则该参数无效。 DestCidrIp String 否 授权的目标IP地址范围(采用CIDR格式来指定IP地址范围),默认值为0.0.0.0/0(表示不受限制),其他支持的格式如10.159.6.18/12或10.159.6.186 Policy String 否 授权策略,参数值可为:accept(接受访问),drop (拒绝访问)
默认值为:accept Priority String 否 授权策略优先级,参数值可为:1-100
默认值为:1 NicType String 否 网络类型,取值: internet intranet; 默认值为internet
当对安全组进行相互授权时(即指定了DestGroupId且没有指定DestCidrIp),必须指定NicType为intranet
返回参数
全是公共返回参数,详见公共返回参数
错误码
错误代码 | 描述 | Http 状态码 | 语义 | InvalidRegionId.NotFound The Regio
nId provided does not exist in our records. 404 指定的RegionId不存在 MissingParameter The input parameter "RegionId" that is mandatory for processing this request is not supplied. 400 RegionId参数未指定 InvalidSecurityGroupId.NotFound The SecurityGroupId provided does not exist in our records. 404 指定的SecurityGroupId不存在 MissingParameter The input parameter "SecurityGroupId" that is mandatory for processing this request is not supplied. 400 SecurityGroupId参数未指定 InvalidIpProtocol.ValueNotSupported The specified IpProtocol does not exist. 400 IpProtocol参数指定的值不支持 MissingParameter The input parameter "IpProtocol" that is mandatory for processing this request is not supplied. 400 IpProtocol参数未指定 InvalidPriority.Malformed The specified parameter "Priority" is not valid. 400 Priority参数格式不正确 InvalidIpPortRange.Malformed The specified parameter "PortRange" is not valid. 400 PortRange格式不正确 MissingParameter The input parameter "PortRange" that is mandatory for processing this request is not supplied. 400 PortRange参数未指定 InvalidDestGroupId.NotFound The DestGroupId provided does not exist in our records. 404 指定的DestGroupId不存在 InvalidDestGroupId.Mismatch NicType is required or NicType expects intrnet. 403 需要明确NicType参数或者NicType必须为intranet InvalidDestCidrIp.Malformed The specified parameter "DestCidrIp" is not valid. 400 DestCidrIp参数格式不正确 MissingParameter The input parameter "DestGroupId" or "DestCidrIp" cannot be both blank. 400 DestGroupId或者DestCidrIp参数未指定 InvalidPolicy.Malformed The specified parameter "Policy" is not valid. 400 Policy参数格式不正确 InvalidNicType.ValueNotSupported The specified NicType does not exist. 400 NicType指定的值不支持 InvalidDestGroupId.Mismatch DestGroupOwnerAccount is required 403 指定的其他用户的DestGroup但是没有指定DestGroupOwnerUserAccount InvalidDestGroupOwnerUserAccount.Mismatch The specified DestGroupId is not belong to the DestGroupOwnerAccount 403 指定的DestGroup不属于DestGroupOwnerUserAccount指定的用户
示例
请求示例
授权对其他安全组的访问权限
https://ecs.aliyuncs.com/?Action=RevokeSecurityGroupEgress
&SecurityGroupId=sg-94n63e80l
&IpProtocol=all
&DestGroupId=sg-94oi1r1bp
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
授权对指定的IP地址范围的访问权限
https://ecs.aliyuncs.com/?Action=RevokeSecurityGroupEgress
&SecurityGroupId=sg-94n63e80l
&IpProtocol=all
&DestCidrIp=10.0.0.0/8
&IpProtocol=tcp
&PortRange=1/65535
&<公共请求参数>
返回示例
JSON格式
{
"RequestId":"CEF72CEB-54B6-4AE8-B225-F876FF7BA984"
}
