Security Rules - Create Or Update

Service:

Virtual Networks

API Version:

2023-09-01

指定したネットワーク セキュリティ グループのセキュリティ規則を作成または更新します。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{networkSecurityGroupName}/securityRules/{securityRuleName}?api-version=2023-09-01

URI パラメーター

名前	/	必須	型	説明
networkSecurityGroupName	path	True	string	ネットワーク セキュリティ グループの名前。
resourceGroupName	path	True	string	リソース グループの名前。
securityRuleName	path	True	string	セキュリティ規則の名前。
subscriptionId	path	True	string	Microsoft Azure サブスクリプションを一意に識別するサブスクリプションの資格情報。 サブスクリプション ID は、全ての修理依頼についてURI の一部を生じさせます。
api-version	query	True	string	クライアント API バージョン。

要求本文

名前	必須	型	説明
properties.access	True	SecurityRuleAccess	ネットワーク トラフィックは許可または拒否されます。
properties.direction	True	SecurityRuleDirection	ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。
properties.priority	True	integer	ルールの優先度。 値は 100 から 4096 の間で指定できます。 優先度番号は、コレクション内のルールごとに一意である必要があります。 優先度番号が低いほど、規則の優先度が高くなります。
properties.protocol	True	SecurityRuleProtocol	この規則が適用されるネットワーク プロトコル。
id		string	リソースの ID
name		string	リソース グループ内で一意のリソースの名前。 この名前は、リソースへのアクセスに使用できます。
properties.description		string	この規則の説明。 140 文字に制限されています。
properties.destinationAddressPrefix		string	宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。
properties.destinationAddressPrefixes		string[]	宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。
properties.destinationApplicationSecurityGroups		ApplicationSecurityGroup[]	宛先として指定されたアプリケーション セキュリティ グループ。
properties.destinationPortRange		string	宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。
properties.destinationPortRanges		string[]	宛先ポート範囲。
properties.sourceAddressPrefix		string	CIDR またはソース IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。
properties.sourceAddressPrefixes		string[]	CIDR またはソース IP 範囲。
properties.sourceApplicationSecurityGroups		ApplicationSecurityGroup[]	ソースとして指定されたアプリケーション セキュリティ グループ。
properties.sourcePortRange		string	ソース ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。
properties.sourcePortRanges		string[]	ソース ポートの範囲。
type		string	リソースの型。

応答

名前	型	説明
200 OK	SecurityRule	更新が成功しました。 この操作は、結果として得られる SecurityRule リソースを返します。
201 Created	SecurityRule	正常に作成されます。 この操作は、結果として得られる SecurityRule リソースを返します。
Other Status Codes	CloudError	操作に失敗した理由を説明するエラー応答。

セキュリティ

azure_auth

Azure Active Directory OAuth2 フロー。

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名前	説明
user_impersonation	ユーザー アカウントの借用

例

Create security rule

Sample Request

HTTP

PUT https://management.azure.com/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/rule1?api-version=2023-09-01

{
  "properties": {
    "protocol": "*",
    "sourceAddressPrefix": "10.0.0.0/8",
    "destinationAddressPrefix": "11.0.0.0/8",
    "access": "Deny",
    "destinationPortRange": "8080",
    "sourcePortRange": "*",
    "priority": 100,
    "direction": "Outbound"
  }
}

Java

import com.azure.resourcemanager.network.fluent.models.SecurityRuleInner;
import com.azure.resourcemanager.network.models.SecurityRuleAccess;
import com.azure.resourcemanager.network.models.SecurityRuleDirection;
import com.azure.resourcemanager.network.models.SecurityRuleProtocol;

/**
 * Samples for SecurityRules CreateOrUpdate.
 */
public final class Main {
    /*
     * x-ms-original-file: specification/network/resource-manager/Microsoft.Network/stable/2023-09-01/examples/
     * NetworkSecurityGroupRuleCreate.json
     */
    /**
     * Sample code: Create security rule.
     * 
     * @param azure The entry point for accessing resource management APIs in Azure.
     */
    public static void createSecurityRule(com.azure.resourcemanager.AzureResourceManager azure) {
        azure.networks().manager().serviceClient().getSecurityRules().createOrUpdate("rg1", "testnsg", "rule1",
            new SecurityRuleInner().withProtocol(SecurityRuleProtocol.ASTERISK).withSourcePortRange("*")
                .withDestinationPortRange("8080").withSourceAddressPrefix("10.0.0.0/8")
                .withDestinationAddressPrefix("11.0.0.0/8").withAccess(SecurityRuleAccess.DENY).withPriority(100)
                .withDirection(SecurityRuleDirection.OUTBOUND),
            com.azure.core.util.Context.NONE);
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Python

from azure.identity import DefaultAzureCredential
from azure.mgmt.network import NetworkManagementClient

"""
# PREREQUISITES
    pip install azure-identity
    pip install azure-mgmt-network
# USAGE
    python network_security_group_rule_create.py

    Before run the sample, please set the values of the client ID, tenant ID and client secret
    of the AAD application as environment variables: AZURE_CLIENT_ID, AZURE_TENANT_ID,
    AZURE_CLIENT_SECRET. For more info about how to get the value, please see:
    https://docs.microsoft.com/azure/active-directory/develop/howto-create-service-principal-portal
"""


def main():
    client = NetworkManagementClient(
        credential=DefaultAzureCredential(),
        subscription_id="subid",
    )

    response = client.security_rules.begin_create_or_update(
        resource_group_name="rg1",
        network_security_group_name="testnsg",
        security_rule_name="rule1",
        security_rule_parameters={
            "properties": {
                "access": "Deny",
                "destinationAddressPrefix": "11.0.0.0/8",
                "destinationPortRange": "8080",
                "direction": "Outbound",
                "priority": 100,
                "protocol": "*",
                "sourceAddressPrefix": "10.0.0.0/8",
                "sourcePortRange": "*",
            }
        },
    ).result()
    print(response)


# x-ms-original-file: specification/network/resource-manager/Microsoft.Network/stable/2023-09-01/examples/NetworkSecurityGroupRuleCreate.json
if __name__ == "__main__":
    main()

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armnetwork_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azcore/to"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/network/armnetwork/v5"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/d4205894880b989ede35d62d97c8e901ed14fb5a/specification/network/resource-manager/Microsoft.Network/stable/2023-09-01/examples/NetworkSecurityGroupRuleCreate.json
func ExampleSecurityRulesClient_BeginCreateOrUpdate() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armnetwork.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	poller, err := clientFactory.NewSecurityRulesClient().BeginCreateOrUpdate(ctx, "rg1", "testnsg", "rule1", armnetwork.SecurityRule{
		Properties: &armnetwork.SecurityRulePropertiesFormat{
			Access:                   to.Ptr(armnetwork.SecurityRuleAccessDeny),
			DestinationAddressPrefix: to.Ptr("11.0.0.0/8"),
			DestinationPortRange:     to.Ptr("8080"),
			Direction:                to.Ptr(armnetwork.SecurityRuleDirectionOutbound),
			Priority:                 to.Ptr[int32](100),
			SourceAddressPrefix:      to.Ptr("10.0.0.0/8"),
			SourcePortRange:          to.Ptr("*"),
			Protocol:                 to.Ptr(armnetwork.SecurityRuleProtocolAsterisk),
		},
	}, nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	res, err := poller.PollUntilDone(ctx, nil)
	if err != nil {
		log.Fatalf("failed to pull the result: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.SecurityRule = armnetwork.SecurityRule{
	// 	ID: to.Ptr("/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/rule1"),
	// 	Name: to.Ptr("rule1"),
	// 	Properties: &armnetwork.SecurityRulePropertiesFormat{
	// 		Access: to.Ptr(armnetwork.SecurityRuleAccessDeny),
	// 		DestinationAddressPrefix: to.Ptr("11.0.0.0/8"),
	// 		DestinationPortRange: to.Ptr("8080"),
	// 		Direction: to.Ptr(armnetwork.SecurityRuleDirectionOutbound),
	// 		Priority: to.Ptr[int32](100),
	// 		ProvisioningState: to.Ptr(armnetwork.ProvisioningStateSucceeded),
	// 		SourceAddressPrefix: to.Ptr("10.0.0.0/8"),
	// 		SourcePortRange: to.Ptr("*"),
	// 		Protocol: to.Ptr(armnetwork.SecurityRuleProtocolAsterisk),
	// 	},
	// }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { NetworkManagementClient } = require("@azure/arm-network");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Creates or updates a security rule in the specified network security group.
 *
 * @summary Creates or updates a security rule in the specified network security group.
 * x-ms-original-file: specification/network/resource-manager/Microsoft.Network/stable/2023-09-01/examples/NetworkSecurityGroupRuleCreate.json
 */
async function createSecurityRule() {
  const subscriptionId = process.env["NETWORK_SUBSCRIPTION_ID"] || "subid";
  const resourceGroupName = process.env["NETWORK_RESOURCE_GROUP"] || "rg1";
  const networkSecurityGroupName = "testnsg";
  const securityRuleName = "rule1";
  const securityRuleParameters = {
    access: "Deny",
    destinationAddressPrefix: "11.0.0.0/8",
    destinationPortRange: "8080",
    direction: "Outbound",
    priority: 100,
    sourceAddressPrefix: "10.0.0.0/8",
    sourcePortRange: "*",
    protocol: "*",
  };
  const credential = new DefaultAzureCredential();
  const client = new NetworkManagementClient(credential, subscriptionId);
  const result = await client.securityRules.beginCreateOrUpdateAndWait(
    resourceGroupName,
    networkSecurityGroupName,
    securityRuleName,
    securityRuleParameters,
  );
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

dotnet

using System;
using System.Threading.Tasks;
using Azure;
using Azure.Core;
using Azure.Identity;
using Azure.ResourceManager;
using Azure.ResourceManager.Network;
using Azure.ResourceManager.Network.Models;

// Generated from example definition: specification/network/resource-manager/Microsoft.Network/stable/2023-09-01/examples/NetworkSecurityGroupRuleCreate.json
// this example is just showing the usage of "SecurityRules_CreateOrUpdate" operation, for the dependent resources, they will have to be created separately.

// get your azure access token, for more details of how Azure SDK get your access token, please refer to https://learn.microsoft.com/en-us/dotnet/azure/sdk/authentication?tabs=command-line
TokenCredential cred = new DefaultAzureCredential();
// authenticate your client
ArmClient client = new ArmClient(cred);

// this example assumes you already have this SecurityRuleResource created on azure
// for more information of creating SecurityRuleResource, please refer to the document of SecurityRuleResource
string subscriptionId = "subid";
string resourceGroupName = "rg1";
string networkSecurityGroupName = "testnsg";
string securityRuleName = "rule1";
ResourceIdentifier securityRuleResourceId = SecurityRuleResource.CreateResourceIdentifier(subscriptionId, resourceGroupName, networkSecurityGroupName, securityRuleName);
SecurityRuleResource securityRule = client.GetSecurityRuleResource(securityRuleResourceId);

// invoke the operation
SecurityRuleData data = new SecurityRuleData()
{
    Protocol = SecurityRuleProtocol.Asterisk,
    SourcePortRange = "*",
    DestinationPortRange = "8080",
    SourceAddressPrefix = "10.0.0.0/8",
    DestinationAddressPrefix = "11.0.0.0/8",
    Access = SecurityRuleAccess.Deny,
    Priority = 100,
    Direction = SecurityRuleDirection.Outbound,
};
ArmOperation<SecurityRuleResource> lro = await securityRule.UpdateAsync(WaitUntil.Completed, data);
SecurityRuleResource result = lro.Value;

// the variable result is a resource, you could call other operations on this instance as well
// but just for demo, we get its data from this resource instance
SecurityRuleData resourceData = result.Data;
// for demo we just print out the id
Console.WriteLine($"Succeeded on id: {resourceData.Id}");

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:

200

{
  "name": "rule1",
  "id": "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/rule1",
  "properties": {
    "provisioningState": "Succeeded",
    "protocol": "*",
    "sourcePortRange": "*",
    "destinationPortRange": "8080",
    "sourceAddressPrefix": "10.0.0.0/8",
    "destinationAddressPrefix": "11.0.0.0/8",
    "access": "Deny",
    "priority": 100,
    "direction": "Outbound"
  }
}

Status code:

201

{
  "name": "rule1",
  "id": "/subscriptions/subid/resourceGroups/rg1/providers/Microsoft.Network/networkSecurityGroups/testnsg/securityRules/rule1",
  "properties": {
    "provisioningState": "Succeeded",
    "protocol": "*",
    "sourcePortRange": "*",
    "destinationPortRange": "8080",
    "sourceAddressPrefix": "10.0.0.0/8",
    "destinationAddressPrefix": "11.0.0.0/8",
    "access": "Deny",
    "priority": 100,
    "direction": "Outbound"
  }
}

定義

名前	説明
ApplicationSecurityGroup	リソース グループ内のアプリケーション セキュリティ グループ。
CloudError	サービスからのエラー応答。
CloudErrorBody	サービスからのエラー応答。
ProvisioningState	現在のプロビジョニング状態。
SecurityRule	ネットワーク セキュリティ規則。
SecurityRuleAccess	ネットワーク トラフィックが許可されるか拒否されるか。
SecurityRuleDirection	ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。
SecurityRuleProtocol	この規則が適用されるネットワーク プロトコル。

ApplicationSecurityGroup

リソース グループ内のアプリケーション セキュリティ グループ。

名前	型	説明
etag	string	リソースが更新されるたびに変更される一意の読み取り専用文字列。
id	string	リソースの ID
location	string	リソースの場所。
name	string	リソース名。
properties.provisioningState	ProvisioningState	アプリケーション セキュリティ グループ リソースのプロビジョニング状態。
properties.resourceGuid	string	アプリケーション セキュリティ グループ リソースのリソース GUID プロパティ。 ユーザーが名前を変更したり、サブスクリプションまたはリソース グループ間でリソースを移行したりした場合でも、リソースを一意に識別します。
tags	object	リソース タグ。
type	string	リソースの種類。

CloudError

サービスからのエラー応答。

名前	型	説明
error	CloudErrorBody	クラウド エラー本文。

CloudErrorBody

サービスからのエラー応答。

名前	型	説明
code	string	エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。
details	CloudErrorBody[]	エラーに関するその他の詳細の一覧。
message	string	ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。
target	string	特定のエラーのターゲット。 たとえば、エラーが発生したプロパティの名前です。

ProvisioningState

現在のプロビジョニング状態。

名前	型	説明
Deleting	string
Failed	string
Succeeded	string
Updating	string

SecurityRule

ネットワーク セキュリティ規則。

名前	型	説明
etag	string	リソースが更新されるたびに変更される一意の読み取り専用文字列。
id	string	リソースの ID
name	string	リソース グループ内で一意のリソースの名前。 この名前は、リソースへのアクセスに使用できます。
properties.access	SecurityRuleAccess	ネットワーク トラフィックは許可または拒否されます。
properties.description	string	この規則の説明。 140 文字に制限されています。
properties.destinationAddressPrefix	string	宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。
properties.destinationAddressPrefixes	string[]	宛先アドレス プレフィックス。 CIDR または宛先 IP 範囲。
properties.destinationApplicationSecurityGroups	ApplicationSecurityGroup[]	宛先として指定されたアプリケーション セキュリティ グループ。
properties.destinationPortRange	string	宛先ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。
properties.destinationPortRanges	string[]	宛先ポート範囲。
properties.direction	SecurityRuleDirection	ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。
properties.priority	integer	ルールの優先度。 値は 100 から 4096 の間で指定できます。 優先度番号は、コレクション内のルールごとに一意である必要があります。 優先度番号が低いほど、規則の優先度が高くなります。
properties.protocol	SecurityRuleProtocol	この規則が適用されるネットワーク プロトコル。
properties.provisioningState	ProvisioningState	セキュリティ 規則リソースのプロビジョニング状態。
properties.sourceAddressPrefix	string	CIDR またはソース IP 範囲。 また、すべてのソース IP に一致させるためにアスタリスク '*' を使用することもできます。 "VirtualNetwork"、"AzureLoadBalancer"、"Internet" などの既定のタグも使用できます。 これがイングレス ルールの場合は、ネットワーク トラフィックの発信元を指定します。
properties.sourceAddressPrefixes	string[]	CIDR またはソース IP 範囲。
properties.sourceApplicationSecurityGroups	ApplicationSecurityGroup[]	ソースとして指定されたアプリケーション セキュリティ グループ。
properties.sourcePortRange	string	ソース ポートまたは範囲。 整数または 0 ~ 65535 の範囲。 アスタリスク '*' を使用して、すべてのポートを照合することもできます。
properties.sourcePortRanges	string[]	ソース ポートの範囲。
type	string	リソースの型。

SecurityRuleAccess

ネットワーク トラフィックが許可されるか拒否されるか。

名前	型	説明
Allow	string
Deny	string

SecurityRuleDirection

ルールの方向。 この方向は、ルールの評価が受信または送信トラフィックのどちらで行われるかを指定します。

名前	型	説明
Inbound	string
Outbound	string

SecurityRuleProtocol

この規則が適用されるネットワーク プロトコル。

名前	型	説明
*	string
Ah	string
Esp	string
Icmp	string
Tcp	string
Udp	string