Por que não consigo excluir um grupo de segurança anexado a uma Amazon VPC?

7 minuto de leitura

Estou recebendo erros ao tentar excluir um grupo de segurança de uma Amazon Virtual Private Cloud (Amazon VPC).

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Ao tentar excluir um grupo de segurança, você pode receber erros por esses motivos.

O grupo de segurança é um grupo de segurança padrão

Todas as Amazon VPCs possuem um grupo de segurança padrão. Quando você não especifica um grupo de segurança, um grupo de segurança padrão é automaticamente associado a uma instância recém-lançada do Amazon Elastic Compute Cloud (Amazon EC2).

Ao tentar excluir um grupo de segurança padrão, você recebe o este erro:

"error: Client.CannotDelete"

Não é possível excluir um grupo de segurança padrão. Contudo, você pode alterar as regras padrão do grupo de segurança. Para obter mais informações, consulte Grupos de segurança padrão para VPCs.

A regra do grupo de segurança faz referência ao seu próprio grupo de segurança ou a regra de outro grupo de segurança faz referência a ele

Você pode receber um erro porque a própria regra do grupo de segurança faz referência ao grupo de segurança. Para resolver esse problema, remova a regra antes de excluir o grupo de segurança.

Para remover uma regra que faz referência ao grupo de segurança, conclua estas etapas:

Abra o console da Amazon VPC.
No painel de navegação, escolha Grupos de segurança.
Selecione o grupo de segurança que você deseja atualizar.
Escolha Ações, Editar regras de entrada ou Ações, Editar regras de saída.
Escolha Excluir para a regra que você deseja excluir.
Escolha Salvar regras.

Para obter mais informações sobre atualizações a regras de grupos de segurança, consulte Regras de grupos de segurança.

Ao tentar excluir um grupo de segurança ao qual a regra de outro grupo de segurança faz referência, você recebe este erro:

"An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object"

Se a regra de outro grupo de segurança faz referência ao grupo de segurança que você deseja excluir, remova a regra antes de excluir o grupo de segurança.

Um grupo de segurança em outra Amazon VPC com uma conexão de emparelhamento estabelecida pode fazer referência ao grupo de segurança que você deseja excluir. Antes de excluir o grupo de segurança, remova a regra ou exclua a conexão de emparelhamento da Amazon VPC.

Observação: use a API DescribeSecurityGroupReferences para descrever a outra extremidade de uma conexão de emparelhamento da Amazon VPC que faz referência ao grupo de segurança.

O grupo de segurança está associado a um recurso da AWS

Você não pode excluir um grupo de segurança que está associado a um recurso da AWS, como uma instância do Amazon EC2 ou um link de VPC do Amazon API Gateway.

Você recebe o seguinte erro:

"Some security groups can't be deleted. The following security groups can't be deleted. These security groups are the default security groups, referenced by other security groups, or are associated with instances or network interfaces."

Para determinar quais recursos usam um grupo de segurança, consulte Como posso encontrar os recursos associados a um grupo de segurança do Amazon EC2?

Importante: depois de criar um link de VPC, você não pode alterar seus grupos de segurança ou sub-redes.

Para alterar o grupo de segurança atribuído a uma instância, consulte Trabalhar com grupos de segurança.

O grupo de segurança está associado a uma interface de rede

Você não pode excluir um grupo de segurança que está associado a uma interface de rede gerenciada pelo solicitante. As interfaces de rede gerenciadas pelo solicitante são criadas automaticamente para recursos gerenciados, como nós do Application Load Balancer. Alguns serviços e recursos da AWS têm grupos de segurança que estão sempre conectados à interface de rede elástica. Os exemplos incluem AWS Lambda, Amazon FSx, Amazon ElastiCache para Redis e ElastiCache para Memcached.

Para excluir ou desanexar interfaces de rede, consulte Excluir uma interface de rede.

Você não pode excluir um grupo de segurança que está associado a uma interface de rede que é usada nos endpoints da Amazon VPC.

Ao tentar excluir um grupo de segurança, você recebe este erro:

"An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object"

Para remover ou substituir o grupo de segurança do endpoint da interface, conclua estas etapas:

Abra o console da Amazon VPC.
No painel de navegação, selecione Endpoints.
Selecione o endpoint da interface e, em seguida, escolha Ações, Gerenciar grupos de segurança.
Selecione ou desmarque os grupos de segurança e, em seguida, escolha Salvar.

Execute o comando describe-network-interfaces da AWS CLI para encontrar interfaces de rede associadas a um grupo de segurança. Substitua <group-id> pelo ID do seu grupo de segurança e <region> pela sua região da AWS:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=<group-id> --region <region> --output json

Examine a saída do comando. Se a saída estiver vazia, nenhum recurso está associado ao grupo de segurança.

Exemplo de saída de comando:

{
    "NetworkInterfaces": []
}

Você não tem autorização para realizar a operação DeleteSecurityGroup

Você deve configurar as permissões apropriadas do AWS Identity and Access Management (IAM) para usar a API DeleteSecurityGroup.

Importante: a API DeleteSecurityGroup falha quando o grupo de segurança que você deseja excluir está associado a uma instância ou referenciado em outro grupo de segurança. Nesses casos, a operação falha com um erro de DependencyViolation.

Quando você tenta excluir um grupo de segurança, mas não tem as permissões corretas, você recebe este erro:

"Failed to delete security groups. An unknown error happened. You are not authorized to perform "DeleteSecurityGroup" operation"

Para solucionar o erro de operação DeleteSecurityGroup, conclua estas etapas:

Abra o console do AWS CloudTrail.
No painel de navegação, selecione Histórico de eventos.
Na lista suspensa Atributos de pesquisa, escolha Nome do evento.
Na caixa de pesquisa, insira DeleteSecurityGroup para ver as chamadas de API da operação.
Essa mensagem de erro na lista Histórico de eventos indica que o erro está relacionado a permissões do IAM:
"You are not authorized to perform this operation."
Verifique se a ação DeleteSecurityGroup foi adicionada às políticas necessárias do AWS IAM para o usuário ou perfil que exclui a ação.
Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.
No AWS Organizations, altere as políticas de controle de serviços (SCPs) da sua organização. Em seguida, altere as permissões do usuário ou do perfil do IAM.
Observação: se você não for o proprietário principal da conta, peça ao proprietário principal da conta que altere as SCPs.

Para obter mais informações sobre SCPs, consulte Efeitos de SCP sobre permissões.

Os usuários não podem excluir grupos de segurança criados por proprietários de VPC

Quando você tenta excluir um grupo de segurança que está em uma Amazon VPC compartilhada que você não possui, você recebe este erro:

"You are not authorized to perform DeleteSecurityGroup operation. A subnet in this vpc is shared but the provided object is not owned by you."

Para solucionar o erro de operação DeleteSecurityGroup, conclua estas etapas:

Abra o console do AWS CloudTrail.
No painel de navegação, selecione Histórico de eventos.
Na lista suspensa Atributos de pesquisa, escolha Nome do evento.
Na caixa de pesquisa, insira DeleteSecurityGroup para ver as chamadas de API da operação.
Confirme se sua conta não é proprietária do grupo de segurança. Se outra conta em sua organização for proprietária do grupo de segurança, peça ao proprietário principal que exclua o grupo de segurança.