All Products
Search
Document Center

Elastic Compute Service:AuthorizeSecurityGroup

Last Updated:Jun 29, 2026

Menambahkan satu atau beberapa aturan arah masuk ke grup keamanan. Anda dapat menggunakan operasi ini untuk menentukan izin akses arah masuk untuk grup keamanan, mengizinkan atau menolak perangkat lain mengirimkan lalu lintas masuk ke instans dalam grup keamanan, yang memungkinkan kontrol akses jaringan yang terperinci.

Deskripsi operasi

Sebelum memulai

  • Batas jumlah: Jumlah total aturan grup keamanan (termasuk aturan arah masuk dan aturan arah keluar) di semua grup keamanan yang terkait dengan satu antarmuka jaringan (NIC) tidak boleh melebihi 1.000. Untuk informasi selengkapnya, lihat Batas grup keamanan.

  • Pengaturan prioritas: Prioritas (Priority) aturan grup keamanan arah masuk berkisar dari 1 hingga 100. Angka yang lebih kecil menunjukkan prioritas yang lebih tinggi. Jika dua aturan grup keamanan memiliki prioritas yang sama, aturan tolak (drop) akan diutamakan. Akses ditolak terlebih dahulu.

Catatan

Jika aturan grup keamanan yang ditentukan sudah ada, panggilan akan berhasil tetapi tidak ada aturan yang ditambahkan.

Cara menentukan aturan

Parameter berikut diperlukan untuk menentukan aturan grup keamanan arah masuk:

  • Pengaturan sumber: Tentukan salah satu dari berikut ini: SourceCidrIp (alamat IPv4), Ipv6SourceCidrIp (alamat IPv6), SourcePrefixListId (ID daftar awalan), atau SourceGroupId (grup keamanan sumber).

  • Range port tujuan: PortRange.

  • Jenis protokol: IpProtocol.

  • Kebijakan akses: Policy.

Catatan

Grup keamanan lanjutan tidak mendukung otorisasi untuk akses dari grup keamanan lain. Grup keamanan dasar mendukung maksimum 20 grup keamanan yang diotorisasi.

Contoh permintaan

Contoh berikut menunjukkan cara menambahkan aturan arah masuk dengan sumber berbeda ke grup keamanan di wilayah China (Hangzhou):

  • Menambahkan izin akses untuk range alamat IP tertentu.

    "RegionId":"cn-hangzhou", // Tentukan wilayah.
    "SecurityGroupId":"sg-bp67acfmxazb4p****", // Tentukan grup keamanan.
    "Permissions":[
         {
           "SourceCidrIp":"10.0.0.0/8", // Tentukan alamat IPv4 sumber.
           "PortRange":"22/22", // Tentukan range port.
           "IpProtocol":"TCP", // Tentukan jenis protokol.
           "Policy":"Accept" // Tentukan kebijakan akses.
         }
    ]
    
  • Menambahkan izin akses untuk grup keamanan lain dan daftar awalan.

    "RegionId":"cn-hangzhou",
    "SecurityGroupId":"sg-bp67acfmxazb4p****",
    "Permissions":[
         {
           "SourceGroupId":"sg-bp17vs63txqxbd****", // Tentukan grup keamanan sumber.
           "PortRange":"22/22",
           "IpProtocol":"TCP",
           "Policy":"Drop"
         },{
           "SourcePrefixListId":"pl-x1j1k5ykzqlixdcy****", // Tentukan daftar awalan sumber.
           "PortRange":"22/22",
           "IpProtocol":"TCP",
           "Policy":"Drop"
         }
    ]
    

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

  • Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.

  • API: API yang dapat Anda panggil untuk melakukan aksi tersebut.

  • Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.

  • Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.

    • Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.

    • Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.

  • Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.

  • Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

ecs:AuthorizeSecurityGroup

create

*全部资源

*

  • ecs:SecurityGroupIpProtocols
  • ecs:SecurityGroupSourceCidrIps
None

Parameter permintaan

Parameter

Type

Required

Description

Example

RegionId

string

Yes

ID wilayah grup keamanan. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru.

cn-hangzhou

RegionId

string

Yes

ID wilayah grup keamanan. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru.

cn-hangzhou

RegionId

string

Yes

ID wilayah grup keamanan. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru.

cn-hangzhou

ClientToken

string

No

Token klien yang digunakan untuk memastikan idempotensi permintaan. Anda dapat menggunakan klien untuk menghasilkan token, tetapi Anda harus memastikan bahwa token tersebut unik di antara permintaan yang berbeda. Nilai ClientToken hanya dapat berisi karakter ASCII dan tidak boleh melebihi 64 karakter. Untuk informasi selengkapnya, lihat Cara memastikan idempotensi.

123e4567-e89b-12d3-a456-426655440000

ClientToken

string

No

Token klien yang digunakan untuk memastikan idempotensi permintaan. Anda dapat menggunakan klien untuk menghasilkan token, tetapi Anda harus memastikan bahwa token tersebut unik di antara permintaan yang berbeda. Nilai ClientToken hanya dapat berisi karakter ASCII dan tidak boleh melebihi 64 karakter. Untuk informasi selengkapnya, lihat Cara memastikan idempotensi.

123e4567-e89b-12d3-a456-426655440000

SecurityGroupId

string

Yes

ID grup keamanan.

sg-bp67acfmxazb4p****

SecurityGroupId

string

Yes

ID grup keamanan.

sg-bp67acfmxazb4p****

Permissions

array<object>

No

Aturan grup keamanan. Panjang array: 1 hingga 100.

object

No

Aturan grup keamanan.

Policy

string

No

Pengaturan untuk izin akses. Nilai valid:

  • accept: Menerima akses.

  • drop: Menolak akses dan tidak mengembalikan Paket tolak. Permintaan tampak pengatur waktu out atau koneksi tidak dapat dibuat.

Nilai default: accept.

accept

Priority

string

No

Prioritas aturan grup keamanan. Nilai yang lebih kecil menunjukkan prioritas yang lebih tinggi. Nilai valid: 1 hingga 100.

Nilai default: 1.

1

IpProtocol

string

No

Protokol lapisan jaringan atau lapisan Transport. Dua jenis nilai didukung:

  1. Nama protokol yang tidak peka huruf besar/kecil. Nilai valid:

  • ICMP

  • GRE

  • TCP

  • UDP

  • ALL: semua protokol.

  1. Nomor protokol yang sesuai dengan spesifikasi IANA, yaitu bilangan bulat dari 0 hingga 255. Wilayah berikut saat ini mendukung fitur ini:

  • Filipina

  • Inggris

  • Malaysia

  • China (Hohhot)

  • China (Qingdao)

  • AS (Virginia)

  • Singapura

ALL

SourceCidrIp

string

No

Blok CIDR IPv4 sumber yang ingin Anda atur izin aksesnya. Pengaturan untuk format CIDR dan range alamat format IPv4 didukung.

10.0.0.0/8

Ipv6SourceCidrIp

string

No

Blok CIDR IPv6 sumber yang ingin Anda atur izin aksesnya. Pengaturan untuk format CIDR dan range alamat format IPv6 didukung.

Catatan

Parameter ini hanya valid untuk instans ECS yang terhubung ke VPC dan mendukung IPv6. Parameter ini dan SourceCidrIp tidak dapat ditentukan secara bersamaan.

2001:250:6000::***

SourceGroupId

string

No

ID grup keamanan sumber yang ingin Anda atur izin aksesnya.

  • Anda harus menentukan setidaknya satu dari parameter berikut: SourceGroupId, SourceCidrIp, Ipv6SourceCidrIp, atau SourcePrefixListId.

  • Jika SourceGroupId ditentukan tetapi SourceCidrIp atau Ipv6SourceCidrIp tidak ditentukan, parameter NicType hanya dapat diatur ke intranet.

  • Jika SourceGroupId dan SourceCidrIp keduanya ditentukan, SourceCidrIp akan diutamakan.

sg-bp67acfmxazb4p****

SourcePrefixListId

string

No

ID daftar awalan sumber yang ingin Anda atur izin aksesnya. Anda dapat memanggil DescribePrefixLists untuk mengkueri ID daftar awalan yang tersedia.

Catatan:

Jika Anda menentukan SourceCidrIp, Ipv6SourceCidrIp, atau SourceGroupId, parameter ini akan diabaikan.

Untuk informasi selengkapnya, lihat Batas grup keamanan.

pl-x1j1k5ykzqlixdcy****

PortRange

string

No

range port tujuan yang sesuai dengan protokol untuk grup keamanan. Nilai valid:

  • TCP/UDP: Nilai valid adalah 1 hingga 65535. Pisahkan port awal dan port akhir dengan garis miring (/). Contoh: 1/200.

  • ICMP: -1/-1.

  • GRE: -1/-1.

  • ALL: -1/-1.

Untuk informasi selengkapnya tentang port umum, lihat Skenario umum untuk port.

80/80

DestCidrIp

string

No

Blok CIDR IPv4 tujuan. Blok CIDR dan range alamat IPv4 didukung.

Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan.

10.0.0.0/8

Ipv6DestCidrIp

string

No

Blok CIDR IPv6 tujuan. Format CIDR dan range alamat format IPv6 didukung.

Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan.

Catatan

Parameter ini hanya valid untuk instans ECS yang terhubung ke VPC dan mendukung IPv6. Parameter ini dan DestCidrIp tidak dapat ditentukan secara bersamaan.

2001:250:6000::***

SourcePortRange

string

No

range port sumber yang sesuai dengan protokol untuk grup keamanan. Nilai valid:

  • TCP/UDP: Nilai valid adalah 1 hingga 65535. Pisahkan port awal dan port akhir dengan garis miring (/). Contoh: 1/200.

  • ICMP: -1/-1.

  • GRE: -1/-1.

  • ALL: -1/-1.

Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan.

7000/8000

SourceGroupOwnerAccount

string

No

Akun Alibaba Cloud yang memiliki grup keamanan sumber saat Anda mengatur aturan grup keamanan lintas akun.

  • Jika SourceGroupOwnerAccount maupun SourceGroupOwnerId tidak diatur, izin akses dikonfigurasi untuk grup keamanan lain dalam akun Anda.

  • Jika parameter SourceCidrIp diatur, parameter SourceGroupOwnerAccount akan diabaikan.

test@aliyun.com

SourceGroupOwnerId

integer

No

ID akun Alibaba Cloud yang memiliki grup keamanan sumber saat Anda mengatur aturan grup keamanan lintas akun.

  • Jika SourceGroupOwnerAccount maupun SourceGroupOwnerId tidak diatur, izin akses dikonfigurasi untuk grup keamanan lain dalam akun Anda.

  • Jika parameter SourceCidrIp diatur, parameter SourceGroupOwnerAccount akan diabaikan.

1234567890

NicType

string

No

Jenis antarmuka jaringan (NIC) untuk aturan grup keamanan jenis jaringan klasik. Nilai valid:

  • internet: antarmuka jaringan (NIC) publik.

  • intranet: antarmuka jaringan (NIC) internal.

Untuk aturan grup keamanan VPC, Anda tidak perlu mengatur parameter jenis antarmuka jaringan (NIC). Nilai default adalah intranet, dan hanya intranet yang didukung.

Saat Anda mengatur grup keamanan untuk saling mengakses (hanya DestGroupId yang ditentukan), hanya intranet yang didukung.

Nilai default: internet.

intranet

Description

string

No

Deskripsi aturan grup keamanan. Deskripsi harus memiliki panjang 1 hingga 512 karakter.

This is description.

PortRangeListId

string

No

ID Buku alamat port. Anda dapat memanggil DescribePortRangeLists untuk mengkueri ID buku alamat port yang tersedia.

  • Jika Anda menentukan Permissions.N.PortRange, parameter ini akan diabaikan.

  • buku alamat port tidak didukung untuk grup keamanan dengan jenis jaringan klasik. Untuk informasi selengkapnya tentang batas grup keamanan dan buku alamat port, lihat Batas grup keamanan. Pengaturan untuk buku alamat port tidak tersedia untuk grup keamanan jaringan klasik.

prl-2ze9743****

Policy deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Policy untuk mengatur izin akses.

accept

Priority deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Priority untuk menentukan prioritas aturan grup keamanan.

1

IpProtocol deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.IpProtocol untuk menentukan jenis protokol.

ALL

SourceCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourceCidrIp untuk menentukan blok CIDR IPv4 sumber.

10.0.0.0/8

Ipv6SourceCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Ipv6SourceCidrIp untuk menentukan blok CIDR IPv6 sumber.

2001:250:6000::***

SourceGroupId deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourceGroupId untuk menentukan ID grup keamanan sumber.

sg-bp67acfmxazb4p****

SourcePrefixListId deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourcePrefixListId untuk menentukan ID daftar awalan sumber.

pl-x1j1k5ykzqlixdcy****

PortRange deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.PortRange untuk menentukan range port.

22/22

DestCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.DestCidrIp untuk menentukan blok CIDR IPv4 tujuan.

10.0.0.0/8

Ipv6DestCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Ipv6DestCidrIp untuk menentukan blok CIDR IPv6 tujuan.

null

SourcePortRange deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourcePortRange untuk menentukan range port sumber.

22/22

SourceGroupOwnerAccount deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourceGroupOwnerAccount untuk menentukan akun Alibaba Cloud yang memiliki grup keamanan sumber.

test@aliyun.com

SourceGroupOwnerId deprecated

integer

No

Tidak digunakan lagi. Gunakan Permissions.N.SourceGroupOwnerId untuk menentukan ID akun Alibaba Cloud yang memiliki grup keamanan sumber.

1234567890

NicType deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.NicType untuk menentukan jenis NIC.

intranet

Description deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Description untuk menentukan deskripsi aturan grup keamanan.

This is description.

Elemen respons

Element

Type

Description

Example

object

RequestId

string

ID permintaan.

473469C7-AA6F-4DC5-B3DB-A3DC0DE3****

Contoh

Respons sukses

JSONformat

{
  "RequestId": "473469C7-AA6F-4DC5-B3DB-A3DC0DE3****"
}

Kode kesalahan

HTTP status code

Error code

Error message

Description

400 OperationDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match.
400 InvalidIpProtocol.Malformed The specified parameter PortRange is not valid.
400 InvalidSourceCidrIp.Malformed The specified parameter SourceCidrIp is not valid.
400 InvalidPolicy.Malformed The specified parameter Policy is not valid.
400 InvalidNicType.ValueNotSupported The specified NicType does not exist.
400 InvalidNicType.Mismatch The specified NicType conflicts with the authorization record.
400 InvalidSourceGroupId.Mismatch Specified security group and source group are not in the same VPC.
400 InvalidSourceGroup.NotFound Specified source security group does not exist.
400 InvalidPriority.Malformed The parameter Priority is invalid.
400 InvalidPriority.ValueNotSupported The specified parameter %s is invalid.
400 InvalidSecurityGroupDiscription.Malformed The specified security group rule description parameter %s is not valid.
400 InvalidSecurityGroup.InvalidNetworkType The specified security group network type is not support this operation, please check the security group network types. For VPC security groups, ClassicLink must be enabled.
400 MissingParameter.Source One of the parameters SourceCidrIp, Ipv6SourceCidrIp, SourceGroupId or SourcePrefixListId in %s must be specified.
400 InvalidParam.PortRange The specified parameter %s is not valid. It should be two integers less than 65535 in ?/? format.
400 InvalidIpProtocol.ValueNotSupported The parameter %s must be specified with case insensitive TCP, UDP, ICMP, GRE or All.
400 InvalidSecurityGroupId.Malformed The specified parameter SecurityGroupId is not valid.
400 InvalidParamter.Conflict The specified SourceCidrIp should be different from the DestCidrIp.
400 InvalidSourcePortRange.Malformed The specified parameter SourcePortRange is not valid.
400 InvalidPortRange.Malformed The specified parameter PortRange must set.
400 InvalidParam.SourceIp The Parameters SourceCidrIp and Ipv6SourceCidrIp in %s cannot be set at the same time.
400 InvalidParam.DestIp The Parameters DestCidrIp and Ipv6DestCidrIp in %s cannot be set at the same time.
400 InvalidParam.Ipv6DestCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv6SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv4ProtocolConflictWithIpv6Address IPv6 address cannot be specified for IPv4-specific protocol.
400 InvalidParam.Ipv6ProtocolConflictWithIpv4Address IPv4 address cannot be specified for IPv6-specific protocol.
400 InvalidParameter.Ipv6CidrIp The specified Ipv6CidrIp is not valid.
400 InvalidGroupAuthParameter.OperationDenied The security group can not authorize to enterprise level security group.
400 InvalidDestCidrIp.Malformed The specified parameter DestCidrIp is not valid.
400 InvalidParameter.Conflict IPv6 and IPv4 addresses cannot exist at the same time.
400 InvalidParam.PrefixListAddressFamilyMismatch The address family of the specified prefix list does not match the specified CidrIp.
400 NotSupported.ClassicNetworkPrefixList The prefix list is not supported when the network type of security group is classic.
400 AuthorizedGroupRule.LimitExceed You have reached the limit on the number of group authorization rules that you can add to a security group.When authorization object of rule is security group, the limit is 20.
400 InvalidParam.SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.DestCidrIp The specified parameter %s is not valid.
400 MissingParameter %s
400 InvalidParam.Permissions The specified parameter Permissions cannot coexist with other parameters.
400 InvalidParam.DuplicatePermissions There are duplicate permissions in the specified parameter Permissions.
400 InvalidGroupParameter.OperationDenied The attributes Policy, SourceGroupId, DestGroupId of enterprise level security groups are not allowed to be set or modified.
400 InvalidParam.ProtocolNotSupportPortRangeList The specified protocol does not support the port range list.
400 InvalidPortRangeListId.NotFound The specified port range list was not found.
401 InvalidOperation.SecurityGroupNotAuthorized The specified security group is not authorized to operate.
500 InternalError The request processing has failed due to some unknown error.
403 InvalidSourceGroupId.Mismatch NicType is required or NicType expects intranet.
403 MissingParameter The input parameter SourceGroupId or SourceCidrIp cannot be both blank.
403 AuthorizationLimitExceed The limit of authorization records in the security group reaches.
403 InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId.
403 InvalidNetworkType.Mismatch The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic).
403 InvalidNetworkType.Conflict The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic).
403 InvalidOperation.ResourceManagedByCloudProduct %s
403 LimitExceed.PrefixListAssociationResource The number of resources associated with the prefix list exceeds the limit.
404 InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist.
404 InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records.
404 InvalidPrefixListId.NotFound The specified prefix list was not found.

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.