Menambahkan satu atau beberapa aturan keluar ke grup keamanan. Anda dapat menggunakan operasi ini untuk menentukan izin akses arah keluar untuk grup keamanan, mengizinkan atau menolak instans dalam grup keamanan mengirimkan lalu lintas keluar ke perangkat lain, yang memungkinkan kontrol akses jaringan yang terperinci.
Deskripsi operasi
Sebelum Anda memulai
Batas jumlah: Jumlah total aturan (termasuk aturan arah masuk dan arah keluar) di semua grup keamanan yang terkait dengan satu pengontrol antarmuka jaringan (NIC) tidak boleh melebihi 1.000. Untuk informasi selengkapnya, lihat Batas grup keamanan.
Pengaturan prioritas: Prioritas (Priority) aturan keluar grup keamanan berkisar dari 1 hingga 100. Angka yang lebih kecil menunjukkan prioritas yang lebih tinggi. Jika dua aturan grup keamanan memiliki prioritas yang sama, aturan Tolak (drop) akan diutamakan.
Catatan
Jika aturan grup keamanan yang ditentukan sudah ada, panggilan akan berhasil tetapi tidak ada aturan yang ditambahkan.
Cara menentukan aturan
Parameter berikut diperlukan untuk menentukan aturan keluar:
Pengaturan tujuan: Tentukan salah satu dari berikut: DestCidrIp (alamat IPv4), Ipv6DestCidrIp (alamat IPv6), DestPrefixListId (ID daftar awalan), atau DestGroupId (grup keamanan tujuan).
Range Port tujuan: PortRange.
Jenis protokol: IpProtocol.
Kebijakan akses: Policy.
Grup keamanan lanjutan tidak mendukung otorisasi grup keamanan lain untuk akses. Grup keamanan kustom mendukung maksimum 20 grup keamanan yang diotorisasi.
Contoh permintaan
Contoh berikut menunjukkan cara menambahkan aturan keluar dengan tujuan berbeda ke grup keamanan di wilayah China (Hangzhou):
-
Menambahkan izin akses untuk range alamat IP tertentu.
"RegionId":"ap-southeast-1", // Tentukan wilayah. "SecurityGroupId":"sg-bp17vs63txqxbds9***", // Tentukan grup keamanan. "Permissions":[ { "DestCidrIp":"10.0.0.0/8", // Tentukan alamat IPv4 tujuan. "PortRange":"-1/-1", // Tentukan range Port. "IpProtocol":"ICMP", // Tentukan jenis protokol. "Policy":"Accept" // Tentukan kebijakan akses. } ] -
Menambahkan izin akses untuk grup keamanan lain dan daftar awalan.
"RegionId":"ap-southeast-1", "SecurityGroupId":"sg-bp17vs63txqxbds9***", "Permissions":[ { "DestGroupId":"sg-bp67acfmxazb4pi***", // Tentukan grup keamanan tujuan. "PortRange":"22/22", "IpProtocol":"TCP", "Policy":"Drop" },{ "DestPrefixListId":"pl-x1j1k5ykzqlixdcy****", // Tentukan daftar awalan tujuan. "PortRange":"22/22", "IpProtocol":"TCP", "Policy":"Drop" } ]
Coba sekarang
Test
RAM authorization
|
Action |
Access level |
Resource type |
Condition key |
Dependent action |
|
ecs:AuthorizeSecurityGroupEgress |
create |
*全部资源
|
|
None |
Parameter permintaan
|
Parameter |
Type |
Required |
Description |
Example |
| RegionId |
string |
Yes |
ID wilayah grup keamanan sumber. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru. |
cn-hangzhou |
| RegionId |
string |
Yes |
ID wilayah grup keamanan sumber. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru. |
cn-hangzhou |
| RegionId |
string |
Yes |
ID wilayah grup keamanan sumber. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru. |
cn-hangzhou |
| ClientToken |
string |
No |
Token klien yang digunakan untuk memastikan idempotensi permintaan. Anda dapat menggunakan klien untuk menghasilkan token, tetapi pastikan token tersebut unik di antara permintaan yang berbeda. Nilai ClientToken hanya dapat berisi karakter ASCII dan tidak boleh melebihi 64 karakter. Untuk informasi selengkapnya, lihat Cara memastikan idempotensi. |
123e4567-e89b-12d3-a456-426655440000 |
| ClientToken |
string |
No |
Token klien yang digunakan untuk memastikan idempotensi permintaan. Anda dapat menggunakan klien untuk menghasilkan token, tetapi pastikan token tersebut unik di antara permintaan yang berbeda. Nilai ClientToken hanya dapat berisi karakter ASCII dan tidak boleh melebihi 64 karakter. Untuk informasi selengkapnya, lihat Cara memastikan idempotensi. |
123e4567-e89b-12d3-a456-426655440000 |
| SecurityGroupId |
string |
Yes |
ID grup keamanan. |
sg-bp67acfmxazb4p**** |
| SecurityGroupId |
string |
Yes |
ID grup keamanan. |
sg-bp67acfmxazb4p**** |
| Permissions |
array<object> |
No |
Aturan grup keamanan. Panjang array: 1 hingga 100. |
|
|
object |
No |
Aturan izin grup keamanan. |
||
| Policy |
string |
No |
Pengaturan izin akses. Nilai valid:
Nilai default: accept. |
accept |
| Priority |
string |
No |
Prioritas aturan grup keamanan. Nilai yang lebih kecil menunjukkan prioritas yang lebih tinggi. Nilai valid: 1 hingga 100. Nilai default: 1. |
1 |
| IpProtocol |
string |
No |
Protokol lapisan jaringan atau lapisan transport. Dua jenis nilai didukung:
|
ALL |
| DestCidrIp |
string |
No |
Blok CIDR IPv4 tujuan yang ingin Anda konfigurasikan pengaturan izin aksesnya. format CIDR dan format alamat IPv4 didukung. |
10.0.0.0/8 |
| Ipv6DestCidrIp |
string |
No |
Blok CIDR IPv6 tujuan yang ingin Anda konfigurasikan pengaturan izin aksesnya. format CIDR dan format alamat IPv6 didukung. Catatan
Parameter ini hanya valid untuk instans ECS tipe VPC yang mendukung IPv6. Parameter ini dan |
2001:db8:1233:1a00::*** |
| DestGroupId |
string |
No |
ID grup keamanan tujuan yang ingin Anda atur izin aksesnya.
|
sg-bp67acfmxazb4p**** |
| DestPrefixListId |
string |
No |
ID daftar awalan tujuan yang ingin Anda atur izin aksesnya. Anda dapat memanggil DescribePrefixLists untuk mengkueri ID daftar awalan yang tersedia. Catatan: Jika Anda menentukan salah satu parameter Untuk informasi selengkapnya, lihat Batas grup keamanan. |
pl-x1j1k5ykzqlixdcy**** |
| PortRange |
string |
No |
Range Port tujuan yang sesuai dengan protokol untuk grup keamanan. Nilai valid:
|
80/80 |
| SourceCidrIp |
string |
No |
Blok CIDR IPv4 sumber. format CIDR dan format alamat IPv4 didukung. Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan. |
10.0.0.0/8 |
| Ipv6SourceCidrIp |
string |
No |
Blok CIDR IPv6 sumber. format CIDR dan format alamat IPv6 didukung. Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan. Catatan
Parameter ini hanya valid untuk instans ECS tipe VPC yang mendukung IPv6. Parameter ini dan |
2001:db8:1234:1a00::*** |
| SourcePortRange |
string |
No |
Range Port sumber yang sesuai dengan protokol untuk grup keamanan. Nilai valid:
Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan. |
80/80 |
| DestGroupOwnerAccount |
string |
No |
Akun Alibaba Cloud yang mengelola grup keamanan tujuan saat Anda mengonfigurasi pengaturan aturan grup keamanan lintas akun.
|
Test@aliyun.com |
| DestGroupOwnerId |
integer |
No |
ID akun Alibaba Cloud yang mengelola grup keamanan tujuan saat Anda mengonfigurasi pengaturan aturan grup keamanan lintas akun.
|
12345678910 |
| NicType |
string |
No |
Pengaturan jenis pengontrol antarmuka jaringan (NIC) untuk aturan grup keamanan jaringan klasik. Nilai valid:
Nilai default: internet. |
intranet |
| Description |
string |
No |
Deskripsi aturan grup keamanan. Deskripsi harus memiliki panjang 1 hingga 512 karakter. |
This is description. |
| PortRangeListId |
string |
No |
ID daftar Port.
Anda dapat memanggil
|
prl-2ze9743**** |
Policy
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
accept |
Priority
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
1 |
IpProtocol
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
ALL |
DestCidrIp
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
10.0.0.0/8 |
Ipv6DestCidrIp
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
2001:db8:1233:1a00::*** |
DestGroupId
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
sg-bp67acfmxazb4p**** |
DestPrefixListId
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
pl-x1j1k5ykzqlixdcy**** |
PortRange
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
80/80 |
SourceCidrIp
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
10.0.0.0/8 |
Ipv6SourceCidrIp
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
2001:db8:1234:1a00::*** |
SourcePortRange
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
80/80 |
DestGroupOwnerAccount
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
Test@aliyun.com |
DestGroupOwnerId
deprecated
|
integer |
No |
Tidak digunakan lagi. Gunakan |
12345678910 |
NicType
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
intranet |
Description
deprecated
|
string |
No |
Tidak digunakan lagi. Gunakan |
This is description. |
Elemen respons
|
Element |
Type |
Description |
Example |
|
object |
|||
| RequestId |
string |
ID permintaan. |
473469C7-AA6F-4DC5-B3DB-A3DC0DE3**** |
Contoh
Respons sukses
JSONformat
{
"RequestId": "473469C7-AA6F-4DC5-B3DB-A3DC0DE3****"
}
Kode kesalahan
|
HTTP status code |
Error code |
Error message |
Description |
|---|---|---|---|
| 400 | OperationDenied | The specified IpProtocol does not exist or IpProtocol and PortRange do not match. | |
| 400 | InvalidIpProtocol.Malformed | The specified parameter PortRange is not valid. | |
| 400 | InvalidDestCidrIp.Malformed | The specified parameter DestCidrIp is not valid. | |
| 400 | InvalidPolicy.Malformed | The specified parameter Policy is not valid. | |
| 400 | InvalidNicType.ValueNotSupported | The specified NicType does not exist. | |
| 400 | InvalidNicType.Mismatch | The specified NicType conflicts with the authorization record. | |
| 400 | InvalidDestGroupId.Mismatch | Specified security group and destination group are not in the same VPC. | |
| 400 | InvalidDestGroup.NotFound | Specified destination security group does not exist. | |
| 400 | InvalidPriority.Malformed | The parameter Priority is invalid. | |
| 400 | InvalidPriority.ValueNotSupported | The specified parameter %s is invalid. | |
| 400 | InvalidSecurityGroupDiscription.Malformed | The specified security group rule description parameter %s is not valid. | |
| 400 | InvalidSecurityGroup.InvalidNetworkType | The specified security group network type is not support this operation, please check the security group network types. For VPC security groups, ClassicLink must be enabled. | |
| 400 | MissingParameter.Dest | One of the parameters DestCidrIp, Ipv6DestCidrIp, DestGroupId or DestPrefixListId in %s must be specified. | |
| 400 | InvalidParam.PortRange | The specified parameter %s is not valid. It should be two integers less than 65535 in ?/? format. | |
| 400 | InvalidIpProtocol.ValueNotSupported | The parameter %s must be specified with case insensitive TCP, UDP, ICMP, GRE or All. | |
| 400 | InvalidSecurityGroupId.Malformed | The specified parameter SecurityGroupId is not valid. | |
| 400 | InvalidParamter.Conflict | The specified SourceCidrIp should be different from the DestCidrIp. | |
| 400 | InvalidSourcePortRange.Malformed | The specified parameter SourcePortRange is not valid. | |
| 400 | InvalidPortRange.Malformed | The specified parameter PortRange must set. | |
| 400 | InvalidParam.SourceIp | The Parameters SourceCidrIp and Ipv6SourceCidrIp in %s cannot be set at the same time. | |
| 400 | InvalidParam.DestIp | The Parameters DestCidrIp and Ipv6DestCidrIp in %s cannot be set at the same time. | |
| 400 | InvalidParam.Ipv6DestCidrIp | The specified parameter %s is not valid. | |
| 400 | InvalidParam.Ipv6SourceCidrIp | The specified parameter %s is not valid. | |
| 400 | InvalidParam.Ipv4ProtocolConflictWithIpv6Address | IPv6 address cannot be specified for IPv4-specific protocol. | |
| 400 | InvalidParam.Ipv6ProtocolConflictWithIpv4Address | IPv4 address cannot be specified for IPv6-specific protocol. | |
| 400 | InvalidParameter.Ipv6CidrIp | The specified Ipv6CidrIp is not valid. | |
| 400 | InvalidGroupAuthParameter.OperationDenied | The security group can not authorize to enterprise level security group. | |
| 400 | InvalidParameter.Conflict | IPv6 and IPv4 addresses cannot exist at the same time. | |
| 400 | InvalidParam.PrefixListAddressFamilyMismatch | The address family of the specified prefix list does not match the specified CidrIp. | |
| 400 | NotSupported.ClassicNetworkPrefixList | The prefix list is not supported when the network type of security group is classic. | |
| 400 | AuthorizedGroupRule.LimitExceed | You have reached the limit on the number of group authorization rules that you can add to a security group.When authorization object of rule is security group, the limit is 20. | |
| 400 | InvalidParam.DestCidrIp | The specified parameter %s is not valid. | |
| 400 | InvalidParam.SourceCidrIp | The specified param SourceCidrIp is not valid. | |
| 400 | InvalidParam.Permissions | The specified parameter Permissions cannot coexist with other parameters. | |
| 400 | InvalidParam.DuplicatePermissions | There are duplicate permissions in the specified parameter Permissions. | |
| 400 | InvalidGroupParameter.OperationDenied | The attributes Policy, SourceGroupId, DestGroupId of enterprise level security groups are not allowed to be set or modified. | |
| 400 | InvalidParam.ProtocolNotSupportPortRangeList | The specified protocol does not support the port range list. | |
| 400 | InvalidPortRangeListId.NotFound | The specified port range list was not found. | |
| 401 | InvalidOperation.SecurityGroupNotAuthorized | The specified security group is not authorized to operate. | |
| 500 | InternalError | The request processing has failed due to some unknown error. | |
| 403 | InvalidDestGroupId.Mismatch | NicType is required or NicType expects intranet. | |
| 403 | MissingParameter | The input parameter DestGroupId or DestCidrIp cannot be both blank. | |
| 403 | AuthorizationLimitExceed | The limit of authorization records in the security group reaches. | |
| 403 | InvalidParamter.Conflict | The specified SecurityGroupId should be different from the SourceGroupId. | |
| 403 | InvalidNetworkType.Conflict | The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic). | |
| 403 | InvalidSecurityGroup.IsSame | The authorized SecurityGroupId should be different from the DestGroupId. | |
| 403 | InvalidOperation.ResourceManagedByCloudProduct | %s | |
| 403 | LimitExceed.PrefixListAssociationResource | The number of resources associated with the prefix list exceeds the limit. | |
| 404 | InvalidSecurityGroupId.NotFound | The specified SecurityGroupId does not exist. | |
| 404 | InvalidDestGroupId.NotFound | The DestGroupId provided does not exist in our records. | |
| 404 | InvalidPrefixListId.NotFound | The specified prefix list was not found. |
Lihat Error Codes untuk daftar lengkap.
Catatan rilis
Lihat Release Notes untuk daftar lengkap.