All Products
Search
Document Center

Elastic Compute Service:AuthorizeSecurityGroupEgress

Last Updated:Jun 29, 2026

Menambahkan satu atau beberapa aturan keluar ke grup keamanan. Anda dapat menggunakan operasi ini untuk menentukan izin akses arah keluar untuk grup keamanan, mengizinkan atau menolak instans dalam grup keamanan mengirimkan lalu lintas keluar ke perangkat lain, yang memungkinkan kontrol akses jaringan yang terperinci.

Deskripsi operasi

Sebelum Anda memulai

  • Batas jumlah: Jumlah total aturan (termasuk aturan arah masuk dan arah keluar) di semua grup keamanan yang terkait dengan satu pengontrol antarmuka jaringan (NIC) tidak boleh melebihi 1.000. Untuk informasi selengkapnya, lihat Batas grup keamanan.

  • Pengaturan prioritas: Prioritas (Priority) aturan keluar grup keamanan berkisar dari 1 hingga 100. Angka yang lebih kecil menunjukkan prioritas yang lebih tinggi. Jika dua aturan grup keamanan memiliki prioritas yang sama, aturan Tolak (drop) akan diutamakan.

Catatan

Jika aturan grup keamanan yang ditentukan sudah ada, panggilan akan berhasil tetapi tidak ada aturan yang ditambahkan.

Cara menentukan aturan

Parameter berikut diperlukan untuk menentukan aturan keluar:

  • Pengaturan tujuan: Tentukan salah satu dari berikut: DestCidrIp (alamat IPv4), Ipv6DestCidrIp (alamat IPv6), DestPrefixListId (ID daftar awalan), atau DestGroupId (grup keamanan tujuan).

  • Range Port tujuan: PortRange.

  • Jenis protokol: IpProtocol.

  • Kebijakan akses: Policy.

Catatan

Grup keamanan lanjutan tidak mendukung otorisasi grup keamanan lain untuk akses. Grup keamanan kustom mendukung maksimum 20 grup keamanan yang diotorisasi.

Contoh permintaan

Contoh berikut menunjukkan cara menambahkan aturan keluar dengan tujuan berbeda ke grup keamanan di wilayah China (Hangzhou):

  • Menambahkan izin akses untuk range alamat IP tertentu.

    "RegionId":"ap-southeast-1",  // Tentukan wilayah.
    "SecurityGroupId":"sg-bp17vs63txqxbds9***", // Tentukan grup keamanan.
    "Permissions":[
         {
           "DestCidrIp":"10.0.0.0/8", // Tentukan alamat IPv4 tujuan.
           "PortRange":"-1/-1", // Tentukan range Port.
           "IpProtocol":"ICMP", // Tentukan jenis protokol.
           "Policy":"Accept" // Tentukan kebijakan akses.
         }
    ]
    
  • Menambahkan izin akses untuk grup keamanan lain dan daftar awalan.

    "RegionId":"ap-southeast-1",
    "SecurityGroupId":"sg-bp17vs63txqxbds9***",
    "Permissions":[
         {
           "DestGroupId":"sg-bp67acfmxazb4pi***", // Tentukan grup keamanan tujuan.
           "PortRange":"22/22",
           "IpProtocol":"TCP",
           "Policy":"Drop"
         },{
           "DestPrefixListId":"pl-x1j1k5ykzqlixdcy****", // Tentukan daftar awalan tujuan.
           "PortRange":"22/22",
           "IpProtocol":"TCP",
           "Policy":"Drop"
         }
    ]
    

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

  • Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.

  • API: API yang dapat Anda panggil untuk melakukan aksi tersebut.

  • Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.

  • Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.

    • Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.

    • Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.

  • Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.

  • Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

ecs:AuthorizeSecurityGroupEgress

create

*全部资源

*

  • ecs:SecurityGroupIpProtocols
  • ecs:SecurityGroupSourceCidrIps
None

Parameter permintaan

Parameter

Type

Required

Description

Example

RegionId

string

Yes

ID wilayah grup keamanan sumber. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru.

cn-hangzhou

RegionId

string

Yes

ID wilayah grup keamanan sumber. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru.

cn-hangzhou

RegionId

string

Yes

ID wilayah grup keamanan sumber. Anda dapat memanggil DescribeRegions untuk mengkueri daftar wilayah terbaru.

cn-hangzhou

ClientToken

string

No

Token klien yang digunakan untuk memastikan idempotensi permintaan. Anda dapat menggunakan klien untuk menghasilkan token, tetapi pastikan token tersebut unik di antara permintaan yang berbeda. Nilai ClientToken hanya dapat berisi karakter ASCII dan tidak boleh melebihi 64 karakter. Untuk informasi selengkapnya, lihat Cara memastikan idempotensi.

123e4567-e89b-12d3-a456-426655440000

ClientToken

string

No

Token klien yang digunakan untuk memastikan idempotensi permintaan. Anda dapat menggunakan klien untuk menghasilkan token, tetapi pastikan token tersebut unik di antara permintaan yang berbeda. Nilai ClientToken hanya dapat berisi karakter ASCII dan tidak boleh melebihi 64 karakter. Untuk informasi selengkapnya, lihat Cara memastikan idempotensi.

123e4567-e89b-12d3-a456-426655440000

SecurityGroupId

string

Yes

ID grup keamanan.

sg-bp67acfmxazb4p****

SecurityGroupId

string

Yes

ID grup keamanan.

sg-bp67acfmxazb4p****

Permissions

array<object>

No

Aturan grup keamanan. Panjang array: 1 hingga 100.

object

No

Aturan izin grup keamanan.

Policy

string

No

Pengaturan izin akses. Nilai valid:

  • accept: Menerima akses.

  • drop: Tolak akses dan tidak mengembalikan Paket Tolak. Permintaan mencapai pengatur waktu atau mengembalikan error pengatur waktu yang mirip dengan kegagalan koneksi.

Nilai default: accept.

accept

Priority

string

No

Prioritas aturan grup keamanan. Nilai yang lebih kecil menunjukkan prioritas yang lebih tinggi. Nilai valid: 1 hingga 100.

Nilai default: 1.

1

IpProtocol

string

No

Protokol lapisan jaringan atau lapisan transport. Dua jenis nilai didukung:

  1. Nama protokol yang tidak peka huruf besar/kecil. Nilai valid:

  • ICMP

  • GRE

  • TCP

  • UDP

  • ALL: Semua protokol didukung.

  1. Nomor protokol yang sesuai dengan spesifikasi IANA, yaitu bilangan bulat dari 0 hingga 255. Wilayah berikut saat ini mendukung fitur ini:

  • Filipina

  • Inggris

  • Malaysia

  • Hohhot

  • Qingdao

  • AS Barat

  • Singapura

ALL

DestCidrIp

string

No

Blok CIDR IPv4 tujuan yang ingin Anda konfigurasikan pengaturan izin aksesnya. format CIDR dan format alamat IPv4 didukung.

10.0.0.0/8

Ipv6DestCidrIp

string

No

Blok CIDR IPv6 tujuan yang ingin Anda konfigurasikan pengaturan izin aksesnya. format CIDR dan format alamat IPv6 didukung.

Catatan

Parameter ini hanya valid untuk instans ECS tipe VPC yang mendukung IPv6. Parameter ini dan DestCidrIp tidak dapat ditentukan secara bersamaan.

2001:db8:1233:1a00::***

DestGroupId

string

No

ID grup keamanan tujuan yang ingin Anda atur izin aksesnya.

  • Anda harus menentukan setidaknya satu dari parameter berikut: DestGroupId, DestCidrIp, Ipv6DestCidrIp, atau DestPrefixListId.

  • Jika DestGroupId ditentukan tetapi DestCidrIp tidak, parameter NicType hanya dapat diatur ke intranet.

  • Jika DestGroupId dan DestCidrIp keduanya ditentukan, DestCidrIp akan diutamakan.

sg-bp67acfmxazb4p****

DestPrefixListId

string

No

ID daftar awalan tujuan yang ingin Anda atur izin aksesnya. Anda dapat memanggil DescribePrefixLists untuk mengkueri ID daftar awalan yang tersedia.

Catatan:

Jika Anda menentukan salah satu parameter DestCidrIp, Ipv6DestCidrIp, atau DestGroupId, parameter ini akan diabaikan.

Untuk informasi selengkapnya, lihat Batas grup keamanan.

pl-x1j1k5ykzqlixdcy****

PortRange

string

No

Range Port tujuan yang sesuai dengan protokol untuk grup keamanan. Nilai valid:

  • TCP/UDP: Nilai valid adalah 1 hingga 65535. Pisahkan Port awal dan Port akhir dengan garis miring (/). Contoh: 1/200.

  • ICMP: -1/-1.

  • GRE: -1/-1.

  • ALL: -1/-1.

80/80

SourceCidrIp

string

No

Blok CIDR IPv4 sumber. format CIDR dan format alamat IPv4 didukung.

Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan.

10.0.0.0/8

Ipv6SourceCidrIp

string

No

Blok CIDR IPv6 sumber. format CIDR dan format alamat IPv6 didukung.

Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan.

Catatan

Parameter ini hanya valid untuk instans ECS tipe VPC yang mendukung IPv6. Parameter ini dan DestCidrIp tidak dapat ditentukan secara bersamaan.

2001:db8:1234:1a00::***

SourcePortRange

string

No

Range Port sumber yang sesuai dengan protokol untuk grup keamanan. Nilai valid:

  • TCP/UDP: Nilai valid adalah 1 hingga 65535. Pisahkan Port awal dan Port akhir dengan garis miring (/). Contoh: 1/200.

  • ICMP: -1/-1.

  • GRE: -1/-1.

  • ALL: -1/-1.

Parameter ini digunakan untuk mendukung aturan quintuple. Untuk informasi selengkapnya, lihat Aturan quintuple grup keamanan.

80/80

DestGroupOwnerAccount

string

No

Akun Alibaba Cloud yang mengelola grup keamanan tujuan saat Anda mengonfigurasi pengaturan aturan grup keamanan lintas akun.

  • Jika DestGroupOwnerAccount maupun DestGroupOwnerId tidak ditentukan, izin akses dikonfigurasi untuk grup keamanan lain dalam akun Anda.

  • Jika parameter DestCidrIp ditentukan, parameter DestGroupOwnerAccount akan diabaikan.

Test@aliyun.com

DestGroupOwnerId

integer

No

ID akun Alibaba Cloud yang mengelola grup keamanan tujuan saat Anda mengonfigurasi pengaturan aturan grup keamanan lintas akun.

  • Jika DestGroupOwnerId maupun DestGroupOwnerAccount tidak ditentukan, izin akses dikonfigurasi untuk grup keamanan lain dalam akun Anda.

  • Jika parameter DestCidrIp ditentukan, parameter DestGroupOwnerId akan diabaikan.

12345678910

NicType

string

No

Pengaturan jenis pengontrol antarmuka jaringan (NIC) untuk aturan grup keamanan jaringan klasik. Nilai valid:

  • internet: pengontrol antarmuka jaringan (NIC) publik.

  • intranet: pengontrol antarmuka jaringan (NIC) internal.
    • Untuk aturan grup keamanan tipe VPC, Anda tidak perlu mengonfigurasi pengaturan jenis pengontrol antarmuka jaringan (NIC). Nilai default adalah intranet.

    • Saat Anda mengonfigurasi grup keamanan untuk saling mengakses, yang berarti hanya parameter DestGroupId yang ditentukan, nilai hanya dapat berupa intranet.

Nilai default: internet.

intranet

Description

string

No

Deskripsi aturan grup keamanan. Deskripsi harus memiliki panjang 1 hingga 512 karakter.

This is description.

PortRangeListId

string

No

ID daftar Port. Anda dapat memanggil DescribePortRangeLists untuk mengkueri ID daftar Port yang tersedia.

  • Jika Anda menentukan Permissions.N.PortRange, parameter ini akan diabaikan.

  • Daftar Port tidak didukung untuk pengaturan grup keamanan jaringan klasik. Untuk informasi selengkapnya tentang batas grup keamanan dan daftar Port, lihat Batas grup keamanan.

prl-2ze9743****

Policy deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Policy untuk mengonfigurasi pengaturan izin akses.

accept

Priority deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Priority untuk menentukan prioritas aturan.

1

IpProtocol deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.IpProtocol untuk menentukan jenis protokol.

ALL

DestCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.DestCidrIp untuk menentukan blok CIDR IPv4 tujuan.

10.0.0.0/8

Ipv6DestCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Ipv6DestCidrIp untuk menentukan blok CIDR IPv6 tujuan.

2001:db8:1233:1a00::***

DestGroupId deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.DestGroupId untuk menentukan ID grup keamanan tujuan.

sg-bp67acfmxazb4p****

DestPrefixListId deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.DestPrefixListId untuk menentukan ID daftar awalan sumber.

pl-x1j1k5ykzqlixdcy****

PortRange deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.PortRange untuk menentukan range port.

80/80

SourceCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourceCidrIp untuk menentukan blok CIDR IPv4 sumber.

10.0.0.0/8

Ipv6SourceCidrIp deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Ipv6SourceCidrIp untuk menentukan blok CIDR IPv6 sumber.

2001:db8:1234:1a00::***

SourcePortRange deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.SourcePortRange untuk menentukan range port sumber.

80/80

DestGroupOwnerAccount deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.DestGroupOwnerAccount untuk menentukan akun Alibaba Cloud yang mengelola grup keamanan tujuan.

Test@aliyun.com

DestGroupOwnerId deprecated

integer

No

Tidak digunakan lagi. Gunakan Permissions.N.DestGroupOwnerId untuk menentukan ID akun Alibaba Cloud yang mengelola grup keamanan tujuan.

12345678910

NicType deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.NicType untuk menentukan jenis NIC.

intranet

Description deprecated

string

No

Tidak digunakan lagi. Gunakan Permissions.N.Description untuk menentukan deskripsi aturan.

This is description.

Elemen respons

Element

Type

Description

Example

object

RequestId

string

ID permintaan.

473469C7-AA6F-4DC5-B3DB-A3DC0DE3****

Contoh

Respons sukses

JSONformat

{
  "RequestId": "473469C7-AA6F-4DC5-B3DB-A3DC0DE3****"
}

Kode kesalahan

HTTP status code

Error code

Error message

Description

400 OperationDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match.
400 InvalidIpProtocol.Malformed The specified parameter PortRange is not valid.
400 InvalidDestCidrIp.Malformed The specified parameter DestCidrIp is not valid.
400 InvalidPolicy.Malformed The specified parameter Policy is not valid.
400 InvalidNicType.ValueNotSupported The specified NicType does not exist.
400 InvalidNicType.Mismatch The specified NicType conflicts with the authorization record.
400 InvalidDestGroupId.Mismatch Specified security group and destination group are not in the same VPC.
400 InvalidDestGroup.NotFound Specified destination security group does not exist.
400 InvalidPriority.Malformed The parameter Priority is invalid.
400 InvalidPriority.ValueNotSupported The specified parameter %s is invalid.
400 InvalidSecurityGroupDiscription.Malformed The specified security group rule description parameter %s is not valid.
400 InvalidSecurityGroup.InvalidNetworkType The specified security group network type is not support this operation, please check the security group network types. For VPC security groups, ClassicLink must be enabled.
400 MissingParameter.Dest One of the parameters DestCidrIp, Ipv6DestCidrIp, DestGroupId or DestPrefixListId in %s must be specified.
400 InvalidParam.PortRange The specified parameter %s is not valid. It should be two integers less than 65535 in ?/? format.
400 InvalidIpProtocol.ValueNotSupported The parameter %s must be specified with case insensitive TCP, UDP, ICMP, GRE or All.
400 InvalidSecurityGroupId.Malformed The specified parameter SecurityGroupId is not valid.
400 InvalidParamter.Conflict The specified SourceCidrIp should be different from the DestCidrIp.
400 InvalidSourcePortRange.Malformed The specified parameter SourcePortRange is not valid.
400 InvalidPortRange.Malformed The specified parameter PortRange must set.
400 InvalidParam.SourceIp The Parameters SourceCidrIp and Ipv6SourceCidrIp in %s cannot be set at the same time.
400 InvalidParam.DestIp The Parameters DestCidrIp and Ipv6DestCidrIp in %s cannot be set at the same time.
400 InvalidParam.Ipv6DestCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv6SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv4ProtocolConflictWithIpv6Address IPv6 address cannot be specified for IPv4-specific protocol.
400 InvalidParam.Ipv6ProtocolConflictWithIpv4Address IPv4 address cannot be specified for IPv6-specific protocol.
400 InvalidParameter.Ipv6CidrIp The specified Ipv6CidrIp is not valid.
400 InvalidGroupAuthParameter.OperationDenied The security group can not authorize to enterprise level security group.
400 InvalidParameter.Conflict IPv6 and IPv4 addresses cannot exist at the same time.
400 InvalidParam.PrefixListAddressFamilyMismatch The address family of the specified prefix list does not match the specified CidrIp.
400 NotSupported.ClassicNetworkPrefixList The prefix list is not supported when the network type of security group is classic.
400 AuthorizedGroupRule.LimitExceed You have reached the limit on the number of group authorization rules that you can add to a security group.When authorization object of rule is security group, the limit is 20.
400 InvalidParam.DestCidrIp The specified parameter %s is not valid.
400 InvalidParam.SourceCidrIp The specified param SourceCidrIp is not valid.
400 InvalidParam.Permissions The specified parameter Permissions cannot coexist with other parameters.
400 InvalidParam.DuplicatePermissions There are duplicate permissions in the specified parameter Permissions.
400 InvalidGroupParameter.OperationDenied The attributes Policy, SourceGroupId, DestGroupId of enterprise level security groups are not allowed to be set or modified.
400 InvalidParam.ProtocolNotSupportPortRangeList The specified protocol does not support the port range list.
400 InvalidPortRangeListId.NotFound The specified port range list was not found.
401 InvalidOperation.SecurityGroupNotAuthorized The specified security group is not authorized to operate.
500 InternalError The request processing has failed due to some unknown error.
403 InvalidDestGroupId.Mismatch NicType is required or NicType expects intranet.
403 MissingParameter The input parameter DestGroupId or DestCidrIp cannot be both blank.
403 AuthorizationLimitExceed The limit of authorization records in the security group reaches.
403 InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId.
403 InvalidNetworkType.Conflict The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic).
403 InvalidSecurityGroup.IsSame The authorized SecurityGroupId should be different from the DestGroupId.
403 InvalidOperation.ResourceManagedByCloudProduct %s
403 LimitExceed.PrefixListAssociationResource The number of resources associated with the prefix list exceeds the limit.
404 InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist.
404 InvalidDestGroupId.NotFound The DestGroupId provided does not exist in our records.
404 InvalidPrefixListId.NotFound The specified prefix list was not found.

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.