すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:AuthorizeSecurityGroup

最終更新日:Jun 29, 2026

セキュリティグループに 1 つ以上のインバウンドルールを追加します。この操作を使用して、セキュリティグループのインバウンドアクセス権限を指定し、他のデバイスからセキュリティグループ内のインスタンスへのインバウンドトラフィックの送信を許可または拒否することで、きめ細かなネットワークアクセスの制御を実現できます。

操作説明

始める前に

  • 数量制限: 単一のネットワークインターフェース (NIC) に関連付けられたすべてのセキュリティグループにおけるセキュリティグループルール (インバウンドルールとアウトバウンドルールを含む) の合計数は 1,000 を超えることはできません。詳細については、セキュリティグループの使用制限を参照してください。

  • 優先度の設定項目: インバウンドセキュリティグループルールの優先度 (Priority) の有効値は 1 から 100 です。値が小さいほど優先度が高くなります。2 つのセキュリティグループルールの優先度が同じ場合、拒否 (drop) ルールが優先されます。アクセスが最初に拒否されます。

注意事項

指定されたセキュリティグループルールが既に存在する場合、呼び出しは成功しますがルールは追加されません。

ルールの判定方法

インバウンドセキュリティグループルールを判定するには、以下のパラメーターが必須です:

  • ソース設定: 次のいずれかを指定します: SourceCidrIp (IPv4 アドレス)、Ipv6SourceCidrIp (IPv6 アドレス)、SourcePrefixListId (プレフィックスリスト ID)、または SourceGroupId (ソースセキュリティグループ)。

  • 宛先ポート範囲: PortRange。

  • プロトコルの種類: IpProtocol。

  • アクセスポリシー: Policy。

説明

高度なセキュリティグループは、他のセキュリティグループからのアクセスの権限付与をサポートしていません。基本セキュリティグループは、最大 20 個の権限付与されたセキュリティグループをサポートします。

リクエスト例

以下の例は、中国 (杭州) リージョンのセキュリティグループに、異なるソースを持つインバウンドルールを追加する方法を示しています:

  • 指定された IP アドレス範囲のアクセス権限を追加します。

    "RegionId":"cn-hangzhou", // リージョンを指定します。
    "SecurityGroupId":"sg-bp67acfmxazb4p****", // セキュリティグループを指定します。
    "Permissions":[
         {
           "SourceCidrIp":"10.0.0.0/8", // ソース IPv4 アドレスを指定します。
           "PortRange":"22/22", // ポート範囲を指定します。
           "IpProtocol":"TCP", // プロトコルの種類を指定します。
           "Policy":"Accept" // アクセスポリシーを指定します。
         }
    ]
    
  • 別のセキュリティグループとプレフィックスリストのアクセス権限を追加します。

    "RegionId":"cn-hangzhou",
    "SecurityGroupId":"sg-bp67acfmxazb4p****",
    "Permissions":[
         {
           "SourceGroupId":"sg-bp17vs63txqxbd****", // ソースセキュリティグループを指定します。
           "PortRange":"22/22",
           "IpProtocol":"TCP",
           "Policy":"Drop"
         },{
           "SourcePrefixListId":"pl-x1j1k5ykzqlixdcy****", // ソースプレフィックスリストを指定します。
           "PortRange":"22/22",
           "IpProtocol":"TCP",
           "Policy":"Drop"
         }
    ]
    

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

ecs:AuthorizeSecurityGroup

create

*All Resource

*

  • ecs:SecurityGroupIpProtocols
  • ecs:SecurityGroupSourceCidrIps
なし

リクエストパラメーター

パラメーター

必須 / 任意

説明

RegionId

string

必須

セキュリティグループのリージョン ID。 DescribeRegions を呼び出して、最新のリージョンリストをクエリできます。

cn-hangzhou

RegionId

string

必須

セキュリティグループのリージョン ID。 DescribeRegions を呼び出して、最新のリージョンリストをクエリできます。

cn-hangzhou

RegionId

string

必須

セキュリティグループのリージョン ID。 DescribeRegions を呼び出して、最新のリージョンリストをクエリできます。

cn-hangzhou

ClientToken

string

任意

リクエストのべき等性を確保するために使用されるクライアントトークン。クライアントを使用してトークンを生成できますが、異なるリクエスト間でトークンが一意であることを確認する必要があります。ClientToken の値には ASCII 文字のみを含めることができ、64 文字を超えることはできません。詳細については、べき等性の確保方法を参照してください。

123e4567-e89b-12d3-a456-426655440000

ClientToken

string

任意

リクエストのべき等性を確保するために使用されるクライアントトークン。クライアントを使用してトークンを生成できますが、異なるリクエスト間でトークンが一意であることを確認する必要があります。ClientToken の値には ASCII 文字のみを含めることができ、64 文字を超えることはできません。詳細については、べき等性の確保方法を参照してください。

123e4567-e89b-12d3-a456-426655440000

SecurityGroupId

string

必須

セキュリティグループ ID。

sg-bp67acfmxazb4p****

SecurityGroupId

string

必須

セキュリティグループ ID。

sg-bp67acfmxazb4p****

Permissions

array<object>

任意

セキュリティグループルール。配列の長さ: 1〜100。

object

任意

セキュリティグループルール。

Policy

string

任意

アクセス権限の設定項目。有効な値:

  • accept: アクセスを許可します。

  • drop: アクセスを拒否し、拒否メッセージを返しません。リクエストがタイムアウトしたか、接続を確立できなかったように見えます。

デフォルト値: accept。

accept

Priority

string

任意

セキュリティグループルールの優先度。値が小さいほど優先度が高くなります。有効な値: 1〜100。

デフォルト値: 1。

1

IpProtocol

string

任意

ネットワーク層またはトランスポートレイヤーのプロトコル。2 種類の値がサポートされています:

  1. 大文字小文字を区別しないプロトコル名。有効な値:

  • ICMP

  • GRE

  • TCP

  • UDP

  • ALL: すべてのプロトコル。

  1. IANA 仕様に準拠したプロトコル番号 (0〜255 の整数)。現在この特徴をサポートしているリージョンは以下のとおりです:

  • フィリピン

  • 英国

  • マレーシア

  • 中国 (フフホト)

  • 中国 (青島)

  • 米国 (バージニア)

  • シンガポール

ALL

SourceCidrIp

string

任意

アクセス権限を設定するソース IPv4 CIDR ブロック。CIDR 初期化および IPv4 初期化のアドレス範囲の設定がサポートされています。

10.0.0.0/8

Ipv6SourceCidrIp

string

任意

アクセス権限を設定するソース IPv6 CIDR ブロック。CIDR 初期化および IPv6 初期化のアドレス範囲の設定がサポートされています。

説明

このパラメーターは、IPv6 をサポートする VPC 接続の ECS インスタンスにのみ有効です。このパラメーターと SourceCidrIp を同時に指定することはできません。

2001:250:6000::***

SourceGroupId

string

任意

アクセス権限を設定するソースセキュリティグループの ID。

  • SourceGroupIdSourceCidrIpIpv6SourceCidrIp、または SourcePrefixListId のうち、少なくとも 1 つのパラメーターを指定する必要があります。

  • SourceGroupId が指定されているが SourceCidrIp または Ipv6SourceCidrIp が指定されていない場合、NicType パラメーターは intranet にのみ設定できます。

  • SourceGroupIdSourceCidrIp の両方が指定されている場合、SourceCidrIp が優先されます。

sg-bp67acfmxazb4p****

SourcePrefixListId

string

任意

アクセス権限を設定するソースプレフィックスリストの ID。 DescribePrefixLists を呼び出して、使用可能なプレフィックスリスト ID をクエリできます。

注意事項:

SourceCidrIpIpv6SourceCidrIp、または SourceGroupId を指定した場合、このパラメーターは無視されます。

詳細については、セキュリティグループの使用制限を参照してください。

pl-x1j1k5ykzqlixdcy****

PortRange

string

任意

セキュリティグループのプロトコルに対応する宛先ポート範囲。有効な値:

  • TCP/UDP: 有効な値は 1〜65535 です。開始ポートと終了ポートを転送スラッシュ (/) で区切ります。例: 1/200。

  • ICMP: -1/-1。

  • GRE: -1/-1。

  • ALL: -1/-1。

一般的なポートの詳細については、ポートの適用シナリオを参照してください。

80/80

DestCidrIp

string

任意

送信先 IPv4 CIDR ブロック。CIDR ブロックおよび IPv4 アドレス範囲がサポートされています。

このパラメーターは 5 タプルルールをサポートするために使用されます。詳細については、セキュリティグループの 5 タプルルールを参照してください。

10.0.0.0/8

Ipv6DestCidrIp

string

任意

送信先 IPv6 CIDR ブロック。CIDR 初期化および IPv6 初期化のアドレス範囲がサポートされています。

このパラメーターは 5 タプルルールをサポートするために使用されます。詳細については、セキュリティグループの 5 タプルルールを参照してください。

説明

このパラメーターは、IPv6 をサポートする VPC 接続の ECS インスタンスにのみ有効です。このパラメーターと DestCidrIp を同時に指定することはできません。

2001:250:6000::***

SourcePortRange

string

任意

セキュリティグループのプロトコルに対応する送信元ポート範囲。有効な値:

  • TCP/UDP: 有効な値は 1〜65535 です。開始ポートと終了ポートを転送スラッシュ (/) で区切ります。例: 1/200。

  • ICMP: -1/-1。

  • GRE: -1/-1。

  • ALL: -1/-1。

このパラメーターは 5 タプルルールをサポートするために使用されます。詳細については、セキュリティグループの 5 タプルルールを参照してください。

7000/8000

SourceGroupOwnerAccount

string

任意

クロスアカウントセキュリティグループルールを設定する場合の、ソースセキュリティグループを所有する Alibaba Cloud アカウント。

  • SourceGroupOwnerAccountSourceGroupOwnerId のどちらも設定されていない場合、自分のアカウント内の別のセキュリティグループに対してアクセス権限が設定されます。

  • SourceCidrIp パラメーターが設定されている場合、SourceGroupOwnerAccount パラメーターは無視されます。

test@aliyun.com

SourceGroupOwnerId

integer

任意

クロスアカウントセキュリティグループルールを設定する場合の、ソースセキュリティグループを所有する Alibaba Cloud アカウントの ID。

  • SourceGroupOwnerAccountSourceGroupOwnerId のどちらも設定されていない場合、自分のアカウント内の別のセキュリティグループに対してアクセス権限が設定されます。

  • SourceCidrIp パラメーターが設定されている場合、SourceGroupOwnerAccount パラメーターは無視されます。

1234567890

NicType

string

任意

クラシックネットワークタイプのセキュリティグループルールのネットワークインターフェース (NIC) タイプ。有効な値:

  • internet: パブリックネットワークインターフェース (NIC)。

  • intranet: 内部ネットワークインターフェース (NIC)。

VPC セキュリティグループルールの場合、ネットワークインターフェース (NIC) タイプパラメーターを設定する必要はありません。デフォルト値は intranet で、intranet のみがサポートされています。

セキュリティグループ間の相互アクセスをコントロールする場合 (DestGroupId のみが指定されている場合)、intranet のみがサポートされています。

デフォルト値: internet。

intranet

Description

string

任意

セキュリティグループルールの説明。説明は 1〜512 文字である必要があります。

This is description.

PortRangeListId

string

任意

ポートアドレス帳 ID。 DescribePortRangeLists を呼び出して、使用可能なポートアドレス帳 ID をクエリできます。

  • Permissions.N.PortRange を指定した場合、このパラメーターは無視されます。

  • ポートアドレス帳は、クラシックネットワークタイプのセキュリティグループではサポートされていません。セキュリティグループとポートアドレス帳の使用制限の詳細については、セキュリティグループの使用制限を参照してください。ポートアドレス帳の設定は、クラシックネットワークのセキュリティグループでは使用できません。

prl-2ze9743****

Policy deprecated

string

任意

非推奨。Permissions.N.Policy を使用してアクセス権限を設定してください。

accept

Priority deprecated

string

任意

非推奨。Permissions.N.Priority を使用してセキュリティグループルールの優先度を指定してください。

1

IpProtocol deprecated

string

任意

非推奨。Permissions.N.IpProtocol を使用してプロトコルの種類を指定してください。

ALL

SourceCidrIp deprecated

string

任意

非推奨。Permissions.N.SourceCidrIp を使用してソース IPv4 CIDR ブロックを指定してください。

10.0.0.0/8

Ipv6SourceCidrIp deprecated

string

任意

非推奨。Permissions.N.Ipv6SourceCidrIp を使用してソース IPv6 CIDR ブロックを指定してください。

2001:250:6000::***

SourceGroupId deprecated

string

任意

非推奨。Permissions.N.SourceGroupId を使用してソースセキュリティグループ ID を指定してください。

sg-bp67acfmxazb4p****

SourcePrefixListId deprecated

string

任意

非推奨。Permissions.N.SourcePrefixListId を使用してソースプレフィックスリスト ID を指定してください。

pl-x1j1k5ykzqlixdcy****

PortRange deprecated

string

任意

非推奨。Permissions.N.PortRange を使用してポート範囲を指定してください。

22/22

DestCidrIp deprecated

string

任意

非推奨。Permissions.N.DestCidrIp を使用して送信先 IPv4 CIDR ブロックを指定してください。

10.0.0.0/8

Ipv6DestCidrIp deprecated

string

任意

非推奨。Permissions.N.Ipv6DestCidrIp を使用して送信先 IPv6 CIDR ブロックを指定してください。

null

SourcePortRange deprecated

string

任意

非推奨。Permissions.N.SourcePortRange を使用して送信元ポート範囲を指定してください。

22/22

SourceGroupOwnerAccount deprecated

string

任意

非推奨。Permissions.N.SourceGroupOwnerAccount を使用してソースセキュリティグループを所有する Alibaba Cloud アカウントを指定してください。

test@aliyun.com

SourceGroupOwnerId deprecated

integer

任意

非推奨。Permissions.N.SourceGroupOwnerId を使用してソースセキュリティグループを所有する Alibaba Cloud アカウントの ID を指定してください。

1234567890

NicType deprecated

string

任意

非推奨。Permissions.N.NicType を使用して NIC タイプを指定してください。

intranet

Description deprecated

string

任意

非推奨。Permissions.N.Description を使用してセキュリティグループルールの説明を指定してください。

This is description.

レスポンスフィールド

フィールド

説明

object

RequestId

string

リクエスト ID

473469C7-AA6F-4DC5-B3DB-A3DC0DE3****

成功レスポンス

JSONJSON

{
  "RequestId": "473469C7-AA6F-4DC5-B3DB-A3DC0DE3****"
}

エラーコード

HTTP ステータスコード

エラーコード

エラーメッセージ

説明

400 OperationDenied The specified IpProtocol does not exist or IpProtocol and PortRange do not match.
400 InvalidIpProtocol.Malformed The specified parameter PortRange is not valid.
400 InvalidSourceCidrIp.Malformed The specified parameter SourceCidrIp is not valid.
400 InvalidPolicy.Malformed The specified parameter Policy is not valid.
400 InvalidNicType.ValueNotSupported The specified NicType does not exist.
400 InvalidNicType.Mismatch The specified NicType conflicts with the authorization record.
400 InvalidSourceGroupId.Mismatch Specified security group and source group are not in the same VPC.
400 InvalidSourceGroup.NotFound Specified source security group does not exist.
400 InvalidPriority.Malformed The parameter Priority is invalid.
400 InvalidPriority.ValueNotSupported The specified parameter %s is invalid.
400 InvalidSecurityGroupDiscription.Malformed The specified security group rule description parameter %s is not valid.
400 InvalidSecurityGroup.InvalidNetworkType The specified security group network type is not support this operation, please check the security group network types. For VPC security groups, ClassicLink must be enabled.
400 MissingParameter.Source One of the parameters SourceCidrIp, Ipv6SourceCidrIp, SourceGroupId or SourcePrefixListId in %s must be specified.
400 InvalidParam.PortRange The specified parameter %s is not valid. It should be two integers less than 65535 in ?/? format.
400 InvalidIpProtocol.ValueNotSupported The parameter %s must be specified with case insensitive TCP, UDP, ICMP, GRE or All.
400 InvalidSecurityGroupId.Malformed The specified parameter SecurityGroupId is not valid.
400 InvalidParamter.Conflict The specified SourceCidrIp should be different from the DestCidrIp.
400 InvalidSourcePortRange.Malformed The specified parameter SourcePortRange is not valid.
400 InvalidPortRange.Malformed The specified parameter PortRange must set.
400 InvalidParam.SourceIp The Parameters SourceCidrIp and Ipv6SourceCidrIp in %s cannot be set at the same time.
400 InvalidParam.DestIp The Parameters DestCidrIp and Ipv6DestCidrIp in %s cannot be set at the same time.
400 InvalidParam.Ipv6DestCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv6SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv4ProtocolConflictWithIpv6Address IPv6 address cannot be specified for IPv4-specific protocol.
400 InvalidParam.Ipv6ProtocolConflictWithIpv4Address IPv4 address cannot be specified for IPv6-specific protocol.
400 InvalidParameter.Ipv6CidrIp The specified Ipv6CidrIp is not valid.
400 InvalidGroupAuthParameter.OperationDenied The security group can not authorize to enterprise level security group.
400 InvalidDestCidrIp.Malformed The specified parameter DestCidrIp is not valid.
400 InvalidParameter.Conflict IPv6 and IPv4 addresses cannot exist at the same time.
400 InvalidParam.PrefixListAddressFamilyMismatch The address family of the specified prefix list does not match the specified CidrIp.
400 NotSupported.ClassicNetworkPrefixList The prefix list is not supported when the network type of security group is classic.
400 AuthorizedGroupRule.LimitExceed You have reached the limit on the number of group authorization rules that you can add to a security group.When authorization object of rule is security group, the limit is 20.
400 InvalidParam.SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.DestCidrIp The specified parameter %s is not valid.
400 MissingParameter %s
400 InvalidParam.Permissions The specified parameter Permissions cannot coexist with other parameters.
400 InvalidParam.DuplicatePermissions There are duplicate permissions in the specified parameter Permissions.
400 InvalidGroupParameter.OperationDenied The attributes Policy, SourceGroupId, DestGroupId of enterprise level security groups are not allowed to be set or modified.
400 InvalidParam.ProtocolNotSupportPortRangeList The specified protocol does not support the port range list.
400 InvalidPortRangeListId.NotFound The specified port range list was not found.
401 InvalidOperation.SecurityGroupNotAuthorized The specified security group is not authorized to operate.
500 InternalError The request processing has failed due to some unknown error.
403 InvalidSourceGroupId.Mismatch NicType is required or NicType expects intranet.
403 MissingParameter The input parameter SourceGroupId or SourceCidrIp cannot be both blank.
403 AuthorizationLimitExceed The limit of authorization records in the security group reaches.
403 InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId.
403 InvalidNetworkType.Mismatch The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic).
403 InvalidNetworkType.Conflict The specified SecurityGroup network type should be same with SourceGroup network type (vpc or classic).
403 InvalidOperation.ResourceManagedByCloudProduct %s
403 LimitExceed.PrefixListAssociationResource The number of resources associated with the prefix list exceeds the limit.
404 InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist.
404 InvalidSourceGroupId.NotFound The SourceGroupId provided does not exist in our records.
404 InvalidPrefixListId.NotFound The specified prefix list was not found.

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。