すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:AddControlPolicy

最終更新日:Jun 17, 2026

アクセスコントロールポリシーを追加します。

操作説明

この操作を呼び出して、Cloud Firewall を通過するトラフィックを許可、拒否、または監視するポリシーを作成できます。

レート制限

この操作のシングルユーザーの 1 秒あたりのクエリ数 (QPS) 制限は 10 です。1 秒あたりの呼び出し数が制限を超えると、速度制限がトリガーされます。速度制限はビジネスに影響を与える可能性があります。必要に応じてこの操作を呼び出してください。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

yundun-cloudfirewall:AddControlPolicy

create

*ControlPolicy

acs:cloudfirewall::{#accountId}:controlpolicy/*

なし なし

リクエストパラメーター

パラメーター

必須 / 任意

説明

SourceIp deprecated

string

任意

リクエストのソース IP アドレス。

192.0.XX.XX

Lang

string

任意

リクエストと応答の言語。有効な値:

  • zh (デフォルト): 中国語

  • en: 英語。

zh

AclAction

string

必須

アクセスコントロールポリシーに設定された操作。トラフィックが Cloud Firewall を通過するメソッドを指定します。有効な値:

  • accept: トラフィックを許可します。

  • drop: トラフィックを拒否します。

  • log: トラフィックを監視します。

accept

ApplicationName deprecated

string

任意

アクセスコントロールポリシーでサポートされるアプリケーションタイプ。有効な値:

  • FTP

  • HTTP

  • HTTPS

  • Memcache

  • MongoDB

  • MQTT

  • MySQL

  • RDP

  • Redis

  • SMTP

  • SMTPS

  • SSH

  • SSL_No_Cert

  • SSL

  • VNC

  • ANY: すべてのアプリケーションタイプ

説明

ApplicationName の有効な値は、プロトコルの種類 (Proto) の値に依存します。Proto が TCP に設定されている場合、ApplicationName は上記のいずれかのアプリケーションタイプに設定できます。Proto が UDP、ICMP、または ANY に設定されている場合、ApplicationName は ANY のみに設定できます。ApplicationNameList または ApplicationName のいずれかを指定する必要があります。両方を空にすることはできません。

ANY

Description

string

必須

アクセスコントロールポリシーの説明。

Release flow

DestPort

string

任意

アクセスコントロールポリシーの宛先ポート。有効な値:

  • プロトコルの種類が ICMP の場合、DestPort の値は空です。

説明

プロトコルの種類が ICMP の場合、宛先ポートのアクセスコントロールはサポートされません。

  • プロトコルの種類が TCP、UDP、または ANY で、宛先ポートタイプ (DestPortType) がグループの場合、DestPort の値は空です。

説明

アクセスコントロールポリシーの宛先ポートタイプがグループ (ポートアドレス帳) に設定されている場合、宛先ポート番号を指定する必要はありません。アクセスコントロールポリシーが管理するすべてのポートがポートアドレス帳に含まれます。

  • プロトコルの種類が TCP、UDP、または ANY で、宛先ポートタイプ (DestPortType) が port の場合、DestPort の値は宛先ポート番号です。

80

Destination

string

必須

アクセスコントロールポリシーの送信先アドレス。

有効な値:

  • DestinationType が net に設定されている場合、Destination の値は送信先 CIDR ブロックです。

    例: 1.2.XX.XX/24

  • DestinationType が group に設定されている場合、Destination の値は送信先アドレス帳名です。

    例: db_group

  • DestinationType が domain に設定されている場合、Destination の値は送信先ドメイン名です。

    例: *.aliyuncs.com

  • DestinationType が location に設定されている場合、Destination の値はターゲットリージョンです。

    例: ["BJ11", "ZB"]

説明

Destination がターゲットリージョンに設定されている場合、詳細については、リージョンコードを参照してください。

192.0.XX.XX/24

DestinationType

string

必須

アクセスコントロールポリシーの送信先アドレスのタイプ。有効な値:

  • net: 送信先 CIDR ブロック

  • group: 送信先アドレス帳

  • domain: 送信先ドメイン名

  • location: ターゲットリージョン。

net

Direction

string

必須

アクセスコントロールポリシーのトラフィックの方向。有効な値:

  • in: インバウンドトラフィック

  • out: アウトバウンドトラフィック。

in

Proto

string

必須

アクセスコントロールポリシーのプロトコルの種類。有効な値:

  • ANY: すべてのプロトコル

  • TCP

  • UDP

  • ICMP

説明

トラフィックの方向がアウトバウンドで、送信先アドレスがドメイン名タイプの脅威インテリジェンスアドレス帳またはクラウドサービスアドレス帳の場合、TCP のみがサポートされます。アプリケーションタイプは HTTP、HTTPS、SMTP、SMTPS、または SSL に設定できます。

ANY

Source

string

必須

アクセスコントロールポリシーのソースアドレス。有効な値:

  • SourceType が net に設定されている場合、Source の値はソース CIDR ブロックです。

    例: 1.1.XX.XX/24

  • SourceType が group に設定されている場合、Source の値はソースアドレス帳名です。

    例: db_group

  • SourceType が location に設定されている場合、Source の値はソースリージョンです。

    例: ["BJ11", "ZB"]

説明

Source がソースリージョンに設定されている場合、詳細については、リージョンコードを参照してください。

192.0.XX.XX/24

SourceType

string

必須

アクセスコントロールポリシーのソースアドレスのタイプ。有効な値:

  • net: ソース CIDR ブロック

  • group: ソースアドレス帳

  • location: ソースリージョン。

net

NewOrder

string

必須

アクセスコントロールポリシーの優先度。優先度の値は 1 から始まります。値が小さいほど優先度が高くなります。

1

DestPortType

string

任意

アクセスコントロールポリシーの宛先ポートのタイプ。

有効な値:

  • port: ポート

  • group: ポートアドレス帳。

port

DestPortGroup

string

任意

アクセスコントロールポリシーの宛先ポートアドレス帳の名前。

説明

DestPortType が group に設定されている場合、宛先ポートアドレス帳名を指定する必要があります。

my_port_group

Release

string

任意

アクセスコントロールポリシーを有効にするかどうかを指定します。ポリシーは作成後にデフォルトで有効になります。有効な値:

  • true: アクセスコントロールポリシーを有効にします。

  • false: アクセスコントロールポリシーを無効にします。

true

IpVersion

string

任意

サポートされる IP アドレスバージョン。

有効な値:

  • 4: IPv4

  • 6: IPv6。

6

ApplicationNameList

array

任意

アクセスコントロールポリシーでサポートされるアプリケーションタイプ。

string

任意

アクセスコントロールポリシーでサポートされるアプリケーションタイプ。有効な値:

  • FTP

  • HTTP

  • HTTPS

  • Memcache

  • MongoDB

  • MQTT

  • MySQL

  • RDP

  • Redis

  • SMTP

  • SMTPS

  • SSH

  • SSL_No_Cert

  • SSL

  • VNC

  • ANY: すべてのアプリケーションタイプ

説明

ApplicationNameList の有効な値は、プロトコルの種類 (Proto) の値に依存します。Proto が TCP に設定されている場合、ApplicationNameList は上記のいずれかのアプリケーションタイプに設定でき、フォーマットは ["HTTP","HTTPS",……] です。Proto が UDP、ICMP、または ANY に設定されている場合、ApplicationNameList は ANY のみに設定できます。ApplicationNameList または ApplicationName のいずれかを指定する必要があります。両方を空にすることはできません。ApplicationNameList と ApplicationName の両方が指定されている場合、ApplicationNameList の値が優先されます。

["ANY"]

RepeatType

string

任意

アクセスコントロールポリシーのポリシー有効期間の繰り返し頻度タイプ。有効な値:

  • Permanent (デフォルト): ポリシーは常に有効です。

  • None: ポリシーは指定された単一の期間に有効です。

  • Daily: ポリシーは毎日有効です。

  • Weekly: ポリシーは毎週有効です。

  • Monthly: ポリシーは毎月有効です。

列挙値:

  • Daily :

    毎日。

  • Monthly :

    毎月。

  • Permanent :

    常時。

  • Weekly :

    毎週。

  • None :

    指定された単一の期間。

Permanent

RepeatDays

array

任意

アクセスコントロールポリシーのポリシー有効期間の繰り返し頻度の日。

  • RepeatType が PermanentNone、または Daily に設定されている場合、RepeatDays の値は空の配列です。 例: []

  • RepeatType が Weekly に設定されている場合、RepeatDays の値は空にできません。 例: [0, 6]

説明

RepeatType が Weekly に設定されている場合、RepeatDays の値は重複できません。

  • RepeatType が Monthly に設定されている場合、RepeatDays の値は空にできません。 例: [1, 31]

説明

RepeatType が Monthly に設定されている場合、RepeatDays の値は重複できません。

integer

任意

アクセスコントロールポリシーのポリシー有効期間の繰り返し頻度の日。

説明

RepeatType が Weekly に設定されている場合、有効な値は 0 から 6 です。週は日曜日から始まります。 RepeatType が Monthly に設定されている場合、有効な値は 1 から 31 です。

1

RepeatStartTime

string

任意

アクセスコントロールポリシーのポリシー有効期間の繰り返し頻度の開始時刻。例: 08:00。値は正時または 30 分単位で、繰り返し頻度の終了時刻より少なくとも 30 分前である必要があります。

説明

RepeatType が Permanent または None に設定されている場合、このパラメーターは空のままにします。RepeatType が Daily、Weekly、または Monthly に設定されている場合、このパラメーターは必須です。 時刻は HH:mm フォーマット (24 時間時計) です。例: 08:00 または 23:30。

08:00

RepeatEndTime

string

任意

アクセスコントロールポリシーのポリシー有効期間の繰り返し頻度の終了時刻。例: 23:30。値は正時または 30 分単位で、繰り返し頻度の開始時刻より少なくとも 30 分後である必要があります。

説明

RepeatType が Permanent または None に設定されている場合、このパラメーターは空のままにします。RepeatType が Daily、Weekly、または Monthly に設定されている場合、このパラメーターは必須です。 時刻は HH:mm フォーマット (24 時間時計) です。例: 08:00 または 23:30。

23:30

StartTime

integer

任意

アクセスコントロールポリシーのポリシー有効期間の開始時刻。値は秒単位の UNIX タイムスタンプです。値は正時または 30 分単位で、終了時刻より少なくとも 30 分前である必要があります。

説明

RepeatType が Permanent に設定されている場合、このパラメーターは空のままにします。RepeatType が None、Daily、Weekly、または Monthly に設定されている場合、このパラメーターは必須です。

1694761200

EndTime

integer

任意

アクセスコントロールポリシーのポリシー有効期間の終了時刻。値は秒単位の UNIX タイムスタンプです。値は正時または 30 分単位で、開始時刻より少なくとも 30 分後である必要があります。

説明

RepeatType が Permanent に設定されている場合、このパラメーターは空のままにします。RepeatType が None、Daily、Weekly、または Monthly に設定されている場合、このパラメーターは必須です。

1694764800

DomainResolveType

string

任意

アクセスコントロールポリシーのドメイン名前解決メソッド。有効な値:

  • FQDN: FQDN ベースの名前解決

  • DNS: DNS ベースの動的名前解決

  • FQDN_AND_DNS: FQDN ベースおよび DNS ベースの動的名前解決。

FQDN

レスポンスフィールド

フィールド

説明

object

AclUuid

string

インターネット境界ファイアウォールのアクセスコントロールポリシーの一意の ID。

00281255-d220-4db1-8f4f-c4df221ad84c

RequestId

string

リクエスト ID。

CBF1E9B7-D6A0-4E9E-AD3E-2B47E6C2837D

成功レスポンス

JSONJSON

{
  "AclUuid": "00281255-d220-4db1-8f4f-c4df221ad84c",
  "RequestId": "CBF1E9B7-D6A0-4E9E-AD3E-2B47E6C2837D"
}

エラーコード

HTTP ステータスコード

エラーコード

エラーメッセージ

説明

400 ErrorAddressCountExceed The maximum number of addresses is exceeded.
400 ErrorParametersSource The source is invalid.
400 ErrorDomainResolve An error occurred while resolving the domain.
400 ErrorParametersDirection The direction is invalid.
400 ErrorDBSelect An error occurred while querying database.
400 ErrorParameterIpVersion The IP version is invalid.
400 ErrorParametersDestination The Destination parameter is invalid.
400 ErrorParametersProto The protocol is invalid.
400 ErrorParametersDestPort The dst_port is invalid.
400 ErrorParametersAction The action is invalid.
400 ErrorParametersUid The aliUid parameter is invalid.
400 ErrorAclDomainAnyCountExceed The number of resolved domain names cannot exceed 200. ACL configuration can be continued for HTTP, HTTPS, SMTP, SMTPS, and SSL applications.
400 ErrorParametersGroupPort The group port is invalid.
400 ErrorParametersFtpNotSupport domain destination not support ftp.
400 ErrorAclExtendedCountExceed ACL or extended ACL rules are not matched.
400 ErrorParametersDestinationCount Exceeding the number of countries in a single ACL.
400 ErrorSrcMand Source is mandatory for this action.
400 ErrorEmptyDomainResolveType Empty DomainResolveType only support HTTP/HTTPS/SSL/SMTP/SMTPS apps.
400 ErrorAddressGroupNotExist The address group does not exist.
400 ErrorParametersApplicationNameList Specified parameter ApplicationNameList is not valid.
400 ErrorParametersApplicationName Specified parameter ApplicationName is not valid.
400 ErrorApplicationTemplateNotFound Application template not found.
400 ErrorWebFilterTemplateNotFound Web filter template not found.
400 ErrorParameters Parameters error.

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。