すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:RevokeSecurityGroupEgress

最終更新日:Jun 29, 2026

指定されたセキュリティグループから 1 つ以上のアウトバウンドセキュリティグループルールを削除します。

操作説明

重要 Alibaba Cloud は 2024 年 7 月 8 日にこの操作の検証ルールを調整しました。存在しないセキュリティグループルールを削除しようとすると、成功応答の代わりにエラーコード「InvalidSecurityGroupRule.RuleNotExist」が返されるようになりました。本番ワークロードへの影響を避けるため、この変更に互換するようエラーコード処理を更新してください。
セキュリティグループルールを削除するには、次のいずれかの方法でパラメーターを渡すことができます:

  • セキュリティグループルール ID を指定してルールを削除する(推奨)。

    • 指定されたセキュリティグループルール ID が存在しない場合、エラーが返されます。

  • Permissions パラメーターを指定してルールを削除する。

    • 一致するセキュリティグループルールが存在しない場合、呼び出しは成功しますがルールは削除されません。

    • セキュリティグループルールを削除するには、次のパラメーターが必須です:
      • 送信先: DestCidrIp(IPv4 アドレス)、Ipv6DestCidrIp(IPv6 アドレス)、DestPrefixListId(プレフィックスリスト ID)、または DestGroupId(送信先セキュリティグループ)のいずれかを指定します。

      • 宛先ポート範囲: PortRange。

      • プロトコルの種類: IpProtocol。

      • アクセスポリシー: Policy。

説明

セキュリティグループルール ID と Permissions パラメーターを同時に指定することはできません。

リクエスト例

  • セキュリティグループルール ID で削除する。

"SecurityGroupId":"sg-bp67acfmxazb4p****", // セキュリティグループ ID を指定します。
"SecurityGroupRuleId":["sgr-bpdfmk****","sgr-bpdfmg****"] // セキュリティグループルール ID を指定します。
  • IP CIDR ブロックで削除する。

"SecurityGroupId":"sg-bp67acfmxazb4ph***",
"Permissions":[
  {
    "IpProtocol":"TCP", // プロトコルの種類を指定します。
    "DestCidrIp":"10.0.0.0/8", // 送信先 IP CIDR ブロックを指定します。
    "PortRange":"22/22", // 宛先ポート範囲を指定します。
    "Policy":"accept" // 権限付与ポリシーを指定します。
  }
]
  • 送信先セキュリティグループで削除する。

"SecurityGroupId":"sg-bp67acfmxazb4ph***",
"Permissions":[
  {
    "DestGroupId":"sg-bp67acfmxa123b****", // 送信先セキュリティグループ ID を指定します。
    "IpProtocol":"TCP",
    "PortRange":"22/22",
    "Policy":"accept"
  }
]
  • プレフィックスリストで削除する。

"SecurityGroupId":"sg-bp67acfmxazb4ph***",
"Permissions":[
  {
    "IpProtocol":"TCP",
    "DestPrefixListId":"pl-x1j1k5ykzqlixdcy****", // 送信先プレフィックスリスト ID を指定します。
    "PortRange":"22/22",
    "Policy":"accept",
  }
]

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

ecs:RevokeSecurityGroupEgress

delete

*SecurityGroup

acs:ecs:{#regionId}:{#accountId}:securitygroup/{#securitygroupId}

  • ecs:tag
  • ecs:tag
  • ecs:tag
なし

リクエストパラメーター

パラメーター

必須 / 任意

説明

RegionId

string

必須

セキュリティグループのリージョン ID。 DescribeRegions を呼び出して最新のリージョンリストをクエリできます。

cn-hangzhou

RegionId

string

必須

セキュリティグループのリージョン ID。 DescribeRegions を呼び出して最新のリージョンリストをクエリできます。

cn-hangzhou

RegionId

string

必須

セキュリティグループのリージョン ID。 DescribeRegions を呼び出して最新のリージョンリストをクエリできます。

cn-hangzhou

ClientToken

string

任意

リクエストのべき等性を確保するために使用されるクライアントトークン。クライアントを使用してトークンを生成できますが、異なるリクエスト間でトークンが一意であることを確認してください。ClientToken には ASCII 文字のみを含めることができ、長さは 64 文字を超えることはできません。詳細については、べき等性の確保方法 を参照してください。

473469C7-AA6F-4DC5-B3DB-A3DC0DE3C83E

ClientToken

string

任意

リクエストのべき等性を確保するために使用されるクライアントトークン。クライアントを使用してトークンを生成できますが、異なるリクエスト間でトークンが一意であることを確認してください。ClientToken には ASCII 文字のみを含めることができ、長さは 64 文字を超えることはできません。詳細については、べき等性の確保方法 を参照してください。

473469C7-AA6F-4DC5-B3DB-A3DC0DE3C83E

SecurityGroupId

string

必須

セキュリティグループ ID。

sg-bp67acfmxazb4p****

SecurityGroupId

string

必須

セキュリティグループ ID。

sg-bp67acfmxazb4p****

SecurityGroupRuleId

array

任意

セキュリティグループルールの ID。配列の長さ: 0~100。

string

任意

セキュリティグループルールの ID。

説明

セキュリティグループルール ID でルールを削除する場合、このパラメーターは必須です。

sgr-bp67acfmxa123b***

Permissions

array<object>

任意

セキュリティグループルール。配列の長さ: 0~100。

object

任意

セキュリティグループルール。

Policy

string

任意

アクセス権限。有効な値:

  • accept: アクセスを許可します。

  • drop: アクセスを拒否し、拒否情報を返しません。リクエストがタイムアウトするか、接続を確立できません。

デフォルト値: accept。

accept

Priority

string

任意

セキュリティグループルールの優先度。値が小さいほど優先度が高くなります。有効な値: 1~100。

デフォルト値: 1。

1

IpProtocol

string

任意

プロトコルの種類。値は大文字と小文字を区別しません。有効な値:

  • TCP。

  • UDP。

  • ICMP。

  • ICMPv6。

  • GRE。

  • ALL: すべてのプロトコル。

TCP

DestCidrIp

string

任意

アクセス権限を取り消す送信先 IPv4 CIDR ブロック。CIDR ブロックと IPv4 アドレス範囲の両方をサポートしています。

10.0.0.0/8

Ipv6DestCidrIp

string

任意

アクセス権限を取り消す送信先 IPv6 CIDR ブロック。CIDR ブロックと IPv6 アドレス範囲の両方をサポートしています。

説明

このパラメーターは、IPv6 をサポートする VPC 接続の ECS インスタンスにのみ有効であり、DestCidrIp パラメーターと同時に指定できません。IPv6 送信先の設定項目にはこのパラメーターを排他的に使用します。

2001:db8:1233:1a00::***

DestGroupId

string

任意

アクセス権限を取り消す送信先セキュリティグループの ID。

  • DestGroupIdDestCidrIpIpv6DestCidrIp、または DestPrefixListId のうち少なくとも 1 つを指定してください。

  • DestGroupId が指定され、DestCidrIp が指定されていない場合、NicType パラメーターは intranet のみにセットできます。

  • DestGroupIdDestCidrIp の両方が指定された場合、DestCidrIp が優先されます。

注意:

  • 高度なセキュリティグループは、他のセキュリティグループへの権限付与をサポートしていません。

  • 基本セキュリティグループには最大 20 個のセキュリティグループを権限付与できます。

sg-bp67acfmxa123b****

DestPrefixListId

string

任意

アクセス権限を取り消す送信先プレフィックスリストの ID。 DescribePrefixLists を呼び出して利用可能なプレフィックスリスト ID をクエリできます。

注意:

DestCidrIpIpv6DestCidrIp、または DestGroupId のいずれかが指定された場合、このパラメーターは無視されます。

詳細については、セキュリティグループの使用制限 を参照してください。

pl-x1j1k5ykzqlixdcy****

PortRange

string

任意

トランスポートレイヤープロトコルに対応する宛先ポート範囲。有効な値:

  • TCP/UDP: 有効な値は 1~65535 です。開始ポートと終了ポートを転送スラッシュ(/)で区切ります。例: 1/200。

  • ICMP: -1/-1。

  • GRE: -1/-1。

  • ALL: -1/-1。

22/22

SourceCidrIp

string

任意

ソース IPv4 CIDR ブロック。CIDR ブロックと IPv4 アドレス範囲をサポートしています。

このパラメーターは 5 タプルルールに使用されます。詳細については、セキュリティグループの 5 タプルルール を参照してください。

10.0.0.0/8

Ipv6SourceCidrIp

string

任意

ソース IPv6 CIDR ブロック。CIDR ブロックと IPv6 アドレス範囲をサポートしています。

このパラメーターは 5 タプルルールに使用されます。詳細については、セキュリティグループの 5 タプルルール を参照してください。

説明

このパラメーターは、IPv6 をサポートする VPC 接続の ECS インスタンスにのみ有効であり、DestCidrIp パラメーターと同時に指定できません。IPv6 ソースの設定項目にはこのパラメーターを排他的に使用します。

2001:db8:1234:1a00::***

SourcePortRange

string

任意

トランスポートレイヤープロトコルに対応する送信元ポート範囲。有効な値:

  • TCP/UDP: 有効な値は 1~65535 です。開始ポートと終了ポートを転送スラッシュ(/)で区切ります。例: 1/200。

  • ICMP: -1/-1。

  • GRE: -1/-1。

  • ALL: -1/-1。

このパラメーターは 5 タプルルールに使用されます。詳細については、セキュリティグループの 5 タプルルール を参照してください。

22/22

DestGroupOwnerAccount

string

任意

クロスアカウント権限付与セキュリティグループルールを取り消す際に、送信先セキュリティグループを管理する Alibaba Cloud アカウント。

  • DestGroupOwnerAccountDestGroupOwnerId のどちらも指定されていない場合、自分のアカウント内の別のセキュリティグループに対するアクセス権限が取り消されます。クロスアカウントシナリオの設定項目にはこのパラメーターが必要です。

  • DestCidrIp が指定された場合、このパラメーターは無視されます。

Test@aliyun.com

DestGroupOwnerId

string

任意

クロスアカウント権限付与セキュリティグループルールを取り消す際に、送信先セキュリティグループを管理する Alibaba Cloud アカウントの ID。

  • DestGroupOwnerIdDestGroupOwnerAccount のどちらも指定されていない場合、自分のアカウント内の別のセキュリティグループに対するアクセス権限が取り消されます。クロスアカウントシナリオの設定項目にはこのパラメーターが必要です。

  • DestCidrIp が指定された場合、このパラメーターは無視されます。

12345678910

NicType

string

任意

セキュリティグループルールのネットワークインターフェース(NIC)タイプ。VPC タイプのセキュリティグループの場合、ネットワークインターフェース(NIC)タイプを設定する必要はありません。デフォルト値は intranet で、intranet のみがサポートされます。VPC タイプのセキュリティグループの設定項目ではこのパラメーターは無視されます。

説明

クラシックネットワーク機能はオフラインになりました。詳細については、廃止のお知らせ を参照してください。クラシックネットワークタイプのセキュリティグループルールのネットワークインターフェース(NIC)タイプ。有効な値:

  • internet: パブリックネットワークインターフェース(NIC)。

  • intranet: 内部ネットワークインターフェース(NIC)。

intranet

Description

string

任意

セキュリティグループルールの説明。説明は 1~512 文字である必要があります。

This is description.

PortRangeListId

string

任意

ポートリスト ID。 DescribePortRangeLists を呼び出して利用可能なポートリスト ID をクエリできます。

Permissions.N.PortRange が指定された場合、このパラメーターは無視されます。

詳細については、セキュリティグループの使用制限 を参照してください。

prl-2ze9743****

Policy deprecated

string

任意

非推奨。アクセス権限の設定項目を構成するには Permissions.N.Policy を使用してください。

accept

Priority deprecated

string

任意

非推奨。ルールの優先度を指定するには Permissions.N.Priority を使用してください。

1

IpProtocol deprecated

string

任意

非推奨。プロトコルの種類を指定するには Permissions.N.IpProtocol を使用してください。

TCP

DestCidrIp deprecated

string

任意

非推奨。送信先 IPv4 CIDR ブロックを指定するには Permissions.N.DestCidrIp を使用してください。

10.0.0.0/8

Ipv6DestCidrIp deprecated

string

任意

非推奨。送信先 IPv6 CIDR ブロックを指定するには Permissions.N.Ipv6DestCidrIp を使用してください。

2001:db8:1233:1a00::***

DestGroupId deprecated

string

任意

非推奨。送信先セキュリティグループ ID を指定するには Permissions.N.DestGroupId を使用してください。

sg-bp67acfmxa123b****

DestPrefixListId deprecated

string

任意

非推奨。ソースプレフィックスリスト ID を指定するには Permissions.N.DestPrefixListId を使用してください。

pl-x1j1k5ykzqlixdcy****

PortRange deprecated

string

任意

非推奨。ポート範囲を指定するには Permissions.N.PortRange を使用してください。

22/22

SourceCidrIp deprecated

string

任意

非推奨。ソース IPv4 CIDR ブロックを指定するには Permissions.N.SourceCidrIp を使用してください。

10.0.0.0/8

Ipv6SourceCidrIp deprecated

string

任意

非推奨。ソース IPv6 CIDR ブロックを指定するには Permissions.N.Ipv6SourceCidrIp を使用してください。

2001:db8:1234:1a00::***

SourcePortRange deprecated

string

任意

非推奨。送信元ポート範囲を指定するには Permissions.N.SourcePortRange を使用してください。

22/22

DestGroupOwnerAccount deprecated

string

任意

非推奨。送信先セキュリティグループを管理する Alibaba Cloud アカウントを指定するには Permissions.N.DestGroupOwnerAccount を使用してください。

Test@aliyun.com

DestGroupOwnerId deprecated

integer

任意

非推奨。送信先セキュリティグループを管理する Alibaba Cloud アカウントの ID を指定するには Permissions.N.DestGroupOwnerId を使用してください。

12345678910

NicType deprecated

string

任意

非推奨。NIC タイプを指定するには Permissions.N.NicType を使用してください。

intranet

Description deprecated

string

任意

非推奨。ルールの説明を指定するには Permissions.N.Description を使用してください。

This is description.

レスポンスフィールド

フィールド

説明

object

RequestId

string

リクエスト ID

473469C7-AA6F-4DC5-B3DB-A3DC0DE3****

成功レスポンス

JSONJSON

{
  "RequestId": "473469C7-AA6F-4DC5-B3DB-A3DC0DE3****"
}

エラーコード

HTTP ステータスコード

エラーコード

エラーメッセージ

説明

400 InvalidIpProtocol.ValueNotSupported The parameter IpProtocol must be specified with case insensitive TCP, UDP, ICMP, GRE or All.
400 InvalidIpPortRange.Malformed The specified parameter PortRange is not valid.
400 InvalidDestCidrIp.sMalformed The specified parameter DestCidrIp is not valid.
400 MissingParameter The input parameter DestGroupId or DestCidrIp cannot be both blank.
400 InvalidPolicy.Malformed The specified parameter %s is not valid.
400 InvalidNicType.ValueNotSupported The specified parameter %s is not valid.
400 InvalidDestGroupId.Mismatch Specified security group and destination group are not in the same VPC.
400 InvalidDestCidrIp.Malformed The specified parameter DestCidrIp is not valid.
400 MissingParameter.Dest One of the parameters DestCidrIp, Ipv6DestCidrIp, DestGroupId or DestPrefixListId in %s must be specified.
400 InvalidParam.PortRange The specified parameter %s is not valid. It should be two integers less than 65535 in ?/? format.
400 InvalidPriority.Malformed The parameter Priority is invalid.
400 InvalidPriority.ValueNotSupported The specified parameter %s is invalid.
400 InvalidParam.SourceIp The Parameters SourceCidrIp and Ipv6SourceCidrIp in %s cannot be set at the same time.
400 InvalidParam.DestIp The Parameters DestCidrIp and Ipv6DestCidrIp in %s cannot be set at the same time.
400 InvalidParam.Ipv6DestCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv6SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.Ipv4ProtocolConflictWithIpv6Address IPv6 address cannot be specified for IPv4-specific protocol.
400 InvalidParam.Ipv6ProtocolConflictWithIpv4Address IPv4 address cannot be specified for IPv6-specific protocol.
400 InvalidParameter.Ipv6CidrIp The specified Ipv6CidrIp is not valid.
400 InvalidGroupAuthParameter.OperationDenied The security group can not authorize to enterprise level security group.
400 InvalidSecurityGroupId.Malformed The specified parameter SecurityGroupId is not valid.
400 InvalidPortRange.Malformed The specified parameter PortRange must set.
400 InvalidSourcePortRange.Malformed The specified parameter SourcePortRange is not valid.
400 InvalidSecurityGroupDiscription.Malformed The specified security group rule description is not valid.
400 NotSupported.ClassicNetworkPrefixList The prefix list is not supported when the network type of security group is classic.
400 InvalidParam.SourceCidrIp The specified parameter %s is not valid.
400 InvalidParam.DestCidrIp The specified parameter %s is not valid.
400 InvalidParam.Permissions The specified parameter Permissions cannot coexist with other parameters.
400 InvalidParam.DuplicatePermissions There are duplicate permissions in the specified parameter Permissions.
400 InvalidParam.SecurityGroupRuleId The specified parameter SecurityGroupRuleId is not valid.
400 InvalidParam.SecurityGroupRuleIdRepeated The specified parameter SecurityGroupRuleId is repeated.
400 InvalidGroupParameter.OperationDenied The attributes Policy, SourceGroupId, DestGroupId of enterprise level security groups are not allowed to be set or modified.
400 InvalidSecurityGroupRule.RuleNotExist The specified rule does not exist.
400 InvalidParam.ProtocolNotSupportPortRangeList The specified protocol does not support the port range list.
400 InvalidPortRangeListId.NotFound The specified port range list was not found.
401 InvalidOperation.SecurityGroupNotAuthorized The specified security group is not authorized to operate.
403 InvalidNicType.Mismatch Specified nic type conflicts with the authorization record.
403 InvalidGroupAuthItem.NotFound Specified group authorized item does not exist in our records.
403 InvalidSecurityGroup.IsSame The authorized SecurityGroupId should be different from the DestGroupId.
403 InvalidParamter.Conflict The specified SecurityGroupId should be different from the SourceGroupId.
403 InvalidOperation.ResourceManagedByCloudProduct %s
404 InvalidSecurityGroupId.NotFound The specified SecurityGroupId does not exist.
404 InvalidDestGroupId.NotFound The DestGroupId provided does not exist in our records.
404 InvalidSecurityGroupRuleId.NotFound The specified SecurityGroupRuleId is not exists.
404 InvalidPrefixListId.NotFound The specified prefix list was not found.

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。