Pourquoi m'est-il impossible de supprimer un groupe de sécurité associé à mon réseau VPC ?

Lecture de 7 minute(s)
0

Des erreurs se produisent lorsque je tente de supprimer un groupe de sécurité pour mon réseau Amazon Virtual Private Cloud (VPC Amazon).

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), reportez-vous à Résoudre les erreurs liées à AWS CLI. Vérifiez également que vous utilisez la version la plus récente d'AWS CLI.

Lorsque vous tentez de supprimer un groupe de sécurité, des erreurs peuvent s'afficher pour plusieurs raisons.

Le groupe de sécurité est un groupe de sécurité par défaut.

Les réseaux Amazon VPC disposent d'un groupe de sécurité par défaut. Lorsqu'il n'existe pas d'autres groupe de sécurité spécifiés, un groupe de sécurité par défaut est automatiquement associé à une instance Amazon Elastic Compute Cloud (Amazon EC2) récemment lancée.

Lorsque vous tentez de supprimer un groupe de sécurité par défaut, l'erreur suivante se produit :

« erreur : Client.CannotDelete »

Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Toutefois, vous pouvez en modifier les règles. Pour plus d'informations, reportez-vous à Groupes de sécurité par défaut pour vos VPC.

La règle du groupe de sécurité fait référence à son propre groupe de sécurité ou bien un autre groupe de sécurité y fait référence.

Une erreur peut se produire parce que la règle du groupe de sécurité fait référence au groupe de sécurité. Pour résoudre ce problème, supprimez la règle avant de supprimer le groupe de sécurité.

Pour supprimer une règle qui fait référence au groupe de sécurité, procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Groupes de sécurité.
  3. Sélectionnez le groupe de sécurité que vous souhaitez mettre à jour.
  4. Choisissez Actions, puis Modifier les règles entrantes ou Actions, puis Modifier les règles sortantes.
  5. Choisissez Supprimer pour la règle que vous souhaitez supprimer.
  6. Choisissez Enregistrer les règles.

Pour plus d'informations sur la modification des règles des groupes de sécurité, reportez-vous à Règles des groupes de sécurité.

Lorsque vous tentez de supprimer un groupe de sécurité auquel la règle d'un autre groupe de sécurité fait référence, le message d'erreur suivant s'affiche :

« Une erreur s'est produite (DependencyViolation) lors de l'appel de l'opération DeleteSecurityGroup : la ressource sg-xyz possède un objet dépendant ».

Si la règle d'un autre groupe de sécurité fait référence au groupe de sécurité que vous souhaitez supprimer, supprimez la règle avant de supprimer le groupe de sécurité.

Un groupe de sécurité dans un autre réseau Amazon VPC avec une connexion d'appairage établie peut faire référence au groupe de sécurité que vous souhaitez supprimer. Pour supprimer le groupe de sécurité, supprimez la référence ou la connexion d'appairage Amazon VPC.

Remarque : utilisez l'API DescribeSecurityGroupReferences pour décrire l'autre terminaison d'une connexion d'appairage Amazon VPC qui fait référence au groupe de sécurité que vous souhaitez supprimer.

Le groupe de sécurité est associé à une ressource AWS.

Vous ne pouvez pas supprimer un groupe de sécurité associé à une ressource AWS, telle qu'une instance Amazon EC2 ou un lien VPC Amazon API Gateway.

Si vous recevez le message d'erreur suivant :

« Certains groupes de sécurité ne peuvent pas être supprimés. Les groupes de sécurité suivants ne peuvent pas être supprimés. Ces groupes de sécurité sont des groupes de sécurité par défaut, référencés par d'autres groupes de sécurité, ou sont associés à des instances ou à des interfaces réseau ».

Pour déterminer quelles ressources utilisent un groupe de sécurité, reportez-vous à Comment puis-je trouver les ressources associées à un groupe de sécurité Amazon EC2 ?

Important : une fois que vous avez créé un lien VPC, vous ne pouvez pas modifier ses groupes de sécurité ou ses sous-réseaux.

Pour modifier le groupe de sécurité associé à une instance, reportez-vous à Utilisation des groupes de sécurité.

Le groupe de sécurité est associé à une interface réseau.

Vous ne pouvez pas supprimer un groupe de sécurité associé à une interface réseau gérée par le demandeur. Les interfaces réseau gérées par le demandeur sont automatiquement créées pour les ressources gérées comme les nœuds Application Load Balancer. Certains services et ressources AWS possèdent des groupes de sécurité toujours associés à l'interface réseau Elastic. Les exemples incluent AWS Lambda, Amazon FSx, Amazon ElastiCache for Redis et ElastiCache for Memcached.

Pour supprimer ou dissocier des interfaces réseau, reportez-vous à Supprimer une interface réseau.

Vous ne pouvez pas supprimer un groupe de sécurité associé à une interface réseau utilisée sur les points de terminaison Amazon VPC.

Lorsque vous tentez de supprimer un groupe de sécurité, le message d'erreur suivant s'affiche :

« Une erreur s'est produite (DependencyViolation) lors de l'appel de l'opération DeleteSecurityGroup : la ressource sg-xyz possède un objet dépendant ».

Pour supprimer ou remplacer le groupe de sécurité du point de terminaison de l'interface, procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Points de terminaison.
  3. Sélectionnez le point de terminaison de l'interface, puis choisissez Actions, puis Gérer les groupes de sécurité.
  4. Sélectionnez ou effacez les groupes de sécurité, puis choisissez Enregistrer.

Exécutez la commande describe-network-interfaces de l'interface de la ligne de commande AWS pour rechercher les interfaces réseau associées à un groupe de sécurité. Remplacez <group-id> par l'ID du groupe de sécurité et <region> par votre région AWS :

aws ec2 describe-network-interfaces --filters Name=group-id,Values=<group-id> --region <region> --output json

Vérifiez la sortie de la commande. Si la sortie est vide, aucune ressource n'est associée au groupe de sécurité.

Exemple de sortie de commande :

{
    "NetworkInterfaces": []
}

Vous n'êtes pas autorisé à effectuer l'opération DeleteSecurityGroup.

Vous devez configurer les autorisations AWS Identity and Access Management (IAM) appropriées pour utiliser l'API DeleteSecurityGroup.

Important : l'API DeleteSecurityGroup échoue lorsque le groupe de sécurité que vous souhaitez supprimer est associé à une instance ou référencé dans un autre groupe de sécurité. Dans ces cas, l'opération échoue avec une erreur DependencyViolation.

Lorsque vous tentez de supprimer un groupe de sécurité, mais que vous ne disposez pas des autorisations requises, l'erreur suivante se produit :

« Impossible de supprimer les groupes de sécurité. Une erreur inconnue s'est produite. Vous n'êtes pas autorisé à effectuer l'opération « DeleteSecurityGroup ».

Pour résoudre l'erreur de l'opération DeleteSecurityGroup, procédez comme suit :

  1. Ouvrez la console AWS CloudTrail.
  2. Dans le volet de navigation, choisissez Historique des événements.
  3. Dans la liste déroulante Attributs de recherche, choisissez Nom de l'événement.
  4. Dans le champ de recherche, saisissez DeleteSecurityGroup pour afficher les appels d'API de l'opération.
  5. Le message d'erreur suivant dans la liste Historique des événements indique que l'erreur est liée aux autorisations IAM :
    « Vous n'êtes pas autorisé à effectuer cette opération ».
  6. Vérifiez que l'action DeleteSecurityGroup est ajoutée aux politiques AWS IAM nécessaires pour l'utilisateur ou le rôle qui supprime l'action.
    Pour plus d'informations, reportez-vous à Ajouter et supprimer des autorisations d'identité IAM.
  7. Dans AWS Organizations, modifiez les politiques de contrôle des services (SCP) de votre organisation. Modifiez ensuite les autorisations de l'utilisateur ou du rôle IAM.
    Remarque : si vous n'êtes pas le détenteur principal du compte, demandez à ce dernier de modifier les SCP.

Pour plus d'informations sur les SCP, reportez-vous à Effets des SCP sur les autorisations.

Les utilisateurs ne peuvent pas supprimer les groupes de sécurité créés par les propriétaires de VPC.

Lorsque vous essayez de supprimer un groupe de sécurité qui se trouve dans un Amazon VPC partagé dont vous n'êtes pas le propriétaire, le message d'erreur suivant s'affiche :

« Vous n'êtes pas autorisé à effectuer l'opération DeleteSecurityGroup. Un sous-réseau de ce vpc est partagé, mais l'objet fourni ne vous appartient pas ».

Pour résoudre l'erreur de l'opération DeleteSecurityGroup, procédez comme suit :

  1. Ouvrez la console AWS CloudTrail.
  2. Dans le volet de navigation, choisissez Historique des événements.
  3. Dans la liste déroulante Attributs de recherche, choisissez Nom de l'événement.
  4. Dans le champ de recherche, saisissez DeleteSecurityGroup pour afficher les appels d'API de l'opération.
  5. Vérifiez que le groupe de sécurité n'appartient pas à votre compte. Si le groupe de sécurité appartient à un autre compte de votre organisation, demandez au propriétaire principal de supprimer le groupe de sécurité.

Informations connexes

Comment puis-je supprimer mon VPC partagé avec un autre compte AWS ?

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois