Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Perché non riesco a eliminare un gruppo di sicurezza collegato al mio Amazon VPC?

7 minuti di lettura
0

Sto riscontrando degli errori durante il tentativo di eliminare un gruppo di sicurezza per il mio Amazon Virtual Private Cloud (Amazon VPC).

Risoluzione

Nota: se ricevi errori durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Quando si tenta di eliminare un gruppo di sicurezza, è possibile che si verifichino alcuni errori per i seguenti motivi.

Il gruppo di sicurezza è un gruppo di sicurezza predefinito

Tutti i cloud privati virtuali dispongono di un gruppo di sicurezza predefinito. Quando non si specifica un gruppo di sicurezza, viene automaticamente associato un gruppo di sicurezza predefinito a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) appena lanciata.

Quando si tenta di eliminare un gruppo di sicurezza predefinito, viene visualizzato il seguente errore:

"error: Client.CannotDelete"

Non è quindi possibile eliminare un gruppo di sicurezza predefinito. Tuttavia, è possibile modificare le regole del gruppo di sicurezza predefinito. Per altre informazioni, consulta Default security groups for your VPCs.

La regola del gruppo di sicurezza fa riferimento al proprio gruppo di sicurezza. In alternativa, vi fa riferimento la regola di un altro gruppo di sicurezza

Potresti ricevere un errore perché la regola del gruppo di sicurezza fa riferimento al gruppo di sicurezza. Per risolvere questo problema, è necessario rimuovere la regola prima di eliminare il gruppo di sicurezza.

Per rimuovere una regola che fa riferimento al gruppo di sicurezza, completa questi passaggi:

  1. Apri la console Amazon VPC.
  2. Nel riquadro di navigazione, scegli Gruppi di sicurezza.
  3. Seleziona il gruppo di sicurezza che desideri aggiornare.
  4. Scegli Azioni, Modifica le regole in entrata o Azioni, Modifica le regole in uscita.
  5. Scegli Elimina per la regola che desideri eliminare.
  6. Scegli Salva regole.

Per altre informazioni sulla modifica delle regole dei gruppi di sicurezza, consulta Regole dei gruppi di sicurezza.

Quando si tenta di eliminare un gruppo di sicurezza a cui fa riferimento la regola di un altro gruppo di sicurezza, viene visualizzato il seguente errore:

"An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object"

Se la regola di un altro gruppo di sicurezza fa riferimento al gruppo di sicurezza che desideri eliminare, rimuovi quindi la regola prima di eliminare il gruppo di sicurezza.

Un gruppo di sicurezza in un altro Amazon VPC con una connessione peering stabilita potrebbe fare riferimento al gruppo di sicurezza che desideri eliminare. Per eliminare il gruppo di sicurezza, rimuovi il riferimento o elimina la connessione peering Amazon VPC.

Nota: usa l'API DescribeSecurityGroupReferences per descrivere l'altra estremità di una connessione peering Amazon VPC che fa riferimento al gruppo di sicurezza.

Il gruppo di sicurezza è associato a una risorsa AWS

Non puoi eliminare un gruppo di sicurezza associato a una risorsa AWS, ad esempio un'istanza Amazon EC2 o un link Amazon API Gateway VPC.

Viene visualizzato il seguente errore:

"Some security groups can't be deleted. The following security groups can't be deleted. These security groups are the default security groups, referenced by other security groups, or are associated with instances or network interfaces."

Per determinare quali risorse utilizzano un gruppo di sicurezza, consulta Come posso trovare le risorse associate a un gruppo di sicurezza Amazon EC2?

Importante: dopo aver creato un collegamento VPC, non puoi modificarne i gruppi di sicurezza o le sottoreti.

Per modificare il gruppo di sicurezza assegnato a un'istanza, vedi Work with security groups.

Il gruppo di sicurezza è associato ad un'interfaccia di rete

Non è possibile eliminare un gruppo di sicurezza associato a un'interfaccia di rete gestita dal richiedente. Le interfacce di rete gestite dal richiedente vengono create automaticamente per le risorse gestite, come i nodi Application Load Balancer. Alcuni servizi e risorse AWS dispongono di gruppi di sicurezza sempre collegati all'interfaccia di rete elastica. Alcuni esempi potrebbero essere AWS Lambda, Amazon FSx, Amazon ElastiCache per Redis ed ElastiCache per Memcached.

Per eliminare o scollegare le interfacce di rete, consulta Delete a network interface.

Non puoi eliminare un gruppo di sicurezza associato a un'interfaccia di rete utilizzata sugli endpoint VPC Amazon.

Quando si tenta di eliminare un gruppo di sicurezza, viene visualizzato questo errore:

"An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object"

Per rimuovere o sostituire il gruppo di sicurezza dall'endpoint dell'interfaccia, completa questi passaggi:

  1. Apri la console Amazon VPC.
  2. Nel riquadro di navigazione, scegli Endpoint.
  3. Seleziona l'endpoint dell'interfaccia, quindi scegli Azioni, Gestisci i gruppi di sicurezza.
  4. Seleziona o deseleziona i gruppi di sicurezza, quindi scegli Salva.

Esegui il comando describe-network-interfaces AWS CLI per trovare le interfacce di rete associate a un gruppo di sicurezza. Sostituisci <group-id> con l'ID del tuo gruppo di sicurezza e <region> con la tua Regione AWS:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=<group-id> --region <region> --output json

Rivedi l'output del comando. Se l'output è vuoto, nessuna risorsa è associata al gruppo di sicurezza.

Esempio di output del comando:

{
    "NetworkInterfaces": []
}

L'autorizzazione a eseguire l'operazione DeleteSecurityGroup non è presente

È necessario configurare le autorizzazioni AWS Identity and Access Management (IAM) appropriate per utilizzare l'API DeleteSecurityGroup.

**Importante:**L'API DeleteSecurityGroup ha esito negativo quando il gruppo di sicurezza che si desidera eliminare è associato a un'istanza o viene referenziato in un altro gruppo di sicurezza. In questi casi, l'operazione non riesce ed è accompagnata da un errore DependencyViolation.

Quando si tenta di eliminare un gruppo di sicurezza, ma non si dispone delle autorizzazioni corrette, viene visualizzato questo errore:

"Failed to delete security groups. An unknown error happened. You are not authorized to perform "DeleteSecurityGroup" operation"

Per risolvere l'errore di operazione DeleteSecurityGroup, completa questi passaggi:

  1. Apri la console AWS CloudTrail.
  2. Nel riquadro di navigazione, scegli Cronologia degli eventi.
  3. Nell'elenco a discesa degli Attributi di ricerca, scegli Nome evento.
  4. Nella casella di ricerca, inserisci DeleteSecurityGroup per visualizzare le chiamate API dell'operazione.
  5. Il seguente messaggio di errore nella Cronologia degli eventi indica che l'errore è correlato alle autorizzazioni IAM:
    "You are not authorized to perform this operation."
  6. Verifica che l'azione DeleteSecurityGroup sia stata aggiunta alle policy AWS IAM necessarie per l'utente o il ruolo che elimina l'azione.
    Per ulteriori informazioni, consulta la sezione Adding and removing IAM identity permissions.
  7. In AWS Organizations, modifica le policy di controllo dei servizi (SCP) della tua organizzazione. Quindi modifica le autorizzazioni per l'utente o il ruolo IAM.
    Nota: se non sei il proprietario principale dell'account, chiedi al proprietario principale dell'account di modificare le SCP.

Per ulteriori informazioni sulle SCP, consulta SCP effects on permissions.

Gli utenti non possono eliminare i gruppi di sicurezza creati dai proprietari di VPC

Quando provi a eliminare un gruppo di sicurezza che si trova in un Amazon VPC condiviso di cui non sei proprietario, ricevi questo errore:

"You are not authorized to perform DeleteSecurityGroup operation. A subnet in this vpc is shared but the provided object is not owned by you."

Per risolvere l'errore di operazione DeleteSecurityGroup, completa questi passaggi:

  1. Apri la console AWS CloudTrail.
  2. Nel riquadro di navigazione, scegli Cronologia degli eventi.
  3. Nell'elenco a discesa degli Attributi di ricerca, scegli Nome evento.
  4. Nella casella di ricerca, inserisci DeleteSecurityGroup per visualizzare le chiamate API dell'operazione.
  5. Verifica che il tuo account non sia proprietario del gruppo di sicurezza. Se il gruppo di sicurezza è di proprietà di un altro account dell'organizzazione, chiedi al proprietario principale di eliminare il gruppo di sicurezza.

Informazioni correlate

Come posso eliminare il mio VPC condiviso con un altro account AWS?

Argomenti
Networking e distribuzione di contenutiComputazionali
Tag
Amazon VPCAmazon EC2Security Group
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente