导入/导出安全组规则

操作场景

您可以在Excel格式文件中填写安全组规则参数，并将规则导入到安全组内。同时，您可以将已有安全组的规则导出至Excel格式文件中。

当您遇到如下场景时，推荐您使用导入和导出安全组功能。

• 本地备份安全组规则：如果您想在本地备份安全组规则，可以导出安全组内的规则，将安全组的出方向、入方向规则信息导出为Excel格式文件。
• 快速创建和恢复安全组规则：如果您想快速创建或恢复安全组规则，可以将安全组规则文件导入到已有安全组中。
• 快速迁移安全组规则：将某个安全组的规则快速应用到其他安全组。
• 批量修改安全组规则：将当前安全组的规则导出后，在Excel文件批量修改完成后，重新导入即可。

约束与限制

• 导入安全组规则时，请根据格式要求填写要求的参数，不能新增参数或者修改已有参数名称，否则会导入失败。
• 导入安全组规则时，当源地址/目的地址设置为安全组或者IP地址组时，请务必填写正确的ID信息，否则会导入失败。
• 当本次导入的安全组规则与安全组内已有规则重复，或者本次导入的安全组规则存在重复，系统将会自动忽略掉重复规则，不影响您执行导入操作。如表1所示，规则A、规则B以及规则C均为重复规则。
  • 规则A和规则B：规则的方向、策略、类型、协议端口、源地址/目的地址均相同，优先级不同时，为重复规则。
  • 规则A和规则C：规则的方向、优先级、策略、类型、协议端口、源地址/目的地址均相同时，为重复规则。

  表1 规则重复示例

  规则	方向	优先级	策略	类型	协议端口	目的地址
  规则A	入方向	1	允许	IPv4	TCP：22	0.0.0.0/0
  规则B	入方向	5	允许	IPv4	TCP：22	0.0.0.0/0
  规则C	入方向	1	允许	IPv4	TCP：22	0.0.0.0/0

• 对于同一个方向的安全组规则，当类型、协议端口、源地址/目的地址均相同时，不允许这两条规则的策略相反，即不能规则A设置为允许，规则B设置为拒绝，示例如表2所示。
  • 当表格中的规则与安全组内已有规则的策略冲突时，安全组会导入失败，请根据界面提示排查修改。
  • 当表格中的规则策略冲突时，安全组会导入失败，请根据界面提示排查修改。

  表2 规则策略相反示例

  规则	方向	优先级	策略	类型	协议端口	目的地址
  规则A	入方向	1	允许	IPv4	TCP：22	0.0.0.0/0
  规则B	入方向	5	拒绝	IPv4	TCP：22	0.0.0.0/0

• 当您在同一个账号内，跨区域导入安全组规则时，即将区域A的安全组规则导入到区域B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。
• 当您跨账号导入安全组规则时，即将账号A的安全组规则导入到账号B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。

操作步骤

1. 登录管理控制台。
2. 在管理控制台左上角单击，选择区域和项目。
3. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。

   进入虚拟私有云列表页面。

4. 在左侧导航栏，选择“访问控制 > 安全组”。

   进入安全组列表页面。

5. 在安全组列表页面，单击目标安全组名称。

   进入安全组详情页面。

6. 导出/导入安全组规则。
   • 单击 “导出规则”，将当前安全组规则导出为Excel文件。
   • 单击 “导入规则”，将Excel文件中的安全组规则导入到当前安全组。
     导入模板中所涉及参数如表3所示。

     表3 导入模板参数说明

     参数	说明	取值样例
     方向	安全组规则的方向： 入方向：入方向指外部访问安全组内的实例。 出方向：出方向指安全组内的实例访问外部。	入方向
     优先级	优先级可选范围为1-100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。	1
     策略	安全组规则策略，支持的策略如下： 如果“策略”设置为允许，表示允许源地址访问安全组内云服务器的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云服务器的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略，更多信息请参见流量匹配安全组规则的顺序。	允许
     协议端口	安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。	TCP
     	安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在入方向规则中，表示外部访问安全组内实例的指定端口。 在出方向规则中，表示安全组内实例访问外部地址的指定端口。	22或22-30
     类型	源地址支持的IP地址类型，如下： IPv4 IPv6	IPv4
     源地址	源地址是入方向规则中，用来匹配外部请求的地址，支持以下格式： IP地址：表示源地址为某个固定的IP地址。 单个IP地址：IP地址/掩码。 单个IPv4地址示例为192.168.10.10/32。 单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。 IPv4网段示例为192.168.52.0/24。 IPv6网段示例为2407:c080:802:469::/64。 所有IP地址： 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 安全组：表示源地址为另外一个安全组，您可以选择当前账号下，同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时的“策略”为允许，源地址选择安全组B时，表示来自实例b的内网访问请求被允许进入实例a。 安全组格式填写要求：安全组名称(安全组ID)，例如，sg-test(96a8a93f-XXX-d7872990c314) IP地址组：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址组格式填写要求：IP地址组名称(IP地址组ID)，例如，ipGroup-test(96a8a93f-XXX-d7872990c314)	sg-test[96a8a93f-XXX-d7872990c314]
     目的地址	目的地址是出方向规则中，用来匹配内部请求的地址，支持以下格式： IP地址：表示目的地址为某个固定的IP地址。 单个IP地址：IP地址/掩码。 单个IPv4地址示例为192.168.10.10/32。 单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。 IPv4网段示例为192.168.52.0/24。 IPv6网段示例为2407:c080:802:469::/64。 所有IP地址： 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 安全组：表示目的地址为另外一个安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A设置出方向规则时的“策略”为允许，目的地址选择安全组B时，表示实例a内部的请求被允许出去访问实例b。 安全组格式填写要求：安全组名称(安全组ID)，例如，sg-test(96a8a93f-XXX-d7872990c314) IP地址组：表示目的地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址组格式填写要求：IP地址组名称(IP地址组ID)，例如，ipGroup-test(96a8a93f-XXX-d7872990c314)	sg-test[96a8a93f-XXX-d7872990c314]
     描述	安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。	-
     修改时间	安全组的修改时间。	-