Por que não consigo excluir um grupo de segurança anexado a uma Amazon VPC?

7 minuto de leitura

Recebo erros ao excluir um grupo de segurança de uma Amazon Virtual Private Cloud (Amazon VPC).

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Verificar se o grupo de segurança não é um grupo de segurança padrão

Cada Amazon VPC tem um grupo de segurança padrão. Se você executar uma nova instância do Amazon Elastic Compute Cloud (Amazon EC2) e não especificar um grupo de segurança padrão, a AWS associará automaticamente um grupo de segurança padrão.

Se você tentar excluir um grupo de segurança padrão, receberá o seguinte erro:

“error: Client.CannotDelete”

Não é possível excluir um grupo de segurança padrão. Mas é possível modificar as regras do seu grupo de segurança padrão.

Verificar se uma regra de grupo de segurança não faz referência ao grupo de segurança

Antes de excluir seu grupo de segurança, conclua as etapas a seguir para remover a regra do grupo de segurança:

Abra o console da Amazon VPC.
No painel de navegação, escolha Grupos de segurança.
Selecione o grupo de segurança que você deseja atualizar.
Escolha Ações, Editar regras de entrada ou Ações, Editar regras de saída.
Escolha Excluir para a regra que você deseja excluir.
Selecione Salvar regras.

Se tentar excluir um grupo de segurança ao qual a regra de outro grupo de segurança faz referência, você receberá este erro:

“An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object”

Remova todas as regras em outros grupos de segurança que façam referência ao grupo de segurança que você deseja excluir.

Se um grupo de segurança em outro Amazon VPC com uma conexão de emparelhamento estabelecida fizer referência ao seu grupo de segurança, exclua a regra ou a conexão.

Observação: use a API DescribeSecurityGroupReferences para descrever a outra extremidade de uma conexão de emparelhamento da Amazon VPC que faz referência ao grupo de segurança.

Desassociar o grupo de segurança associado a um recurso da AWS

Se o grupo de segurança que você deseja excluir estiver associado a um recurso da AWS, desassocie-o. Não é possível excluir um grupo de segurança que está associado a um recurso da AWS, como uma instância do Amazon EC2 ou um link de VPC do Amazon API Gateway.

Importante: depois de criar um link de VPC, não é possível alterar seus grupos de segurança ou sub-redes.

Se você receber o erro a seguir, seu grupo de segurança está associado a um recurso da AWS:

“Some security groups can't be deleted. The following security groups can't be deleted. These security groups are the default security groups, referenced by other security groups, or are associated with instances or network interfaces.”

Para determinar quais recursos usam um grupo de segurança, consulte Como posso encontrar os recursos associados a um grupo de segurança do Amazon EC2?

Excluir um grupo de segurança associado a uma interface de rede

Não é possível excluir um grupo de segurança que está associado a uma interface de rede gerenciada pelo solicitante.

Para excluir ou desanexar interfaces de rede, consulte Excluir uma interface de rede.

Não é possível excluir um grupo de segurança que está associado a uma interface de rede que endpoints da Amazon VPC usam.

Quando você tenta excluir um grupo de segurança associado a uma interface de rede usada pelos endpoints da Amazon VPC, você recebe este erro:

“An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object”

Para remover ou substituir o grupo de segurança do endpoint da interface, conclua estas etapas:

Abra o console da Amazon VPC.
No painel de navegação, selecione Endpoints.
Selecione o endpoint da interface e, em seguida, escolha Ações, Gerenciar grupos de segurança.
Selecione ou desmarque os grupos de segurança e, em seguida, escolha Salvar.

Execute o comando describe-network-interfaces da AWS CLI para encontrar interfaces de rede associadas a um grupo de segurança:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=example-group-id --region example-region --output json

Observação: substitua example-group-id pelo ID do seu grupo de segurança e example-region pela sua região da AWS.

Examine a saída do comando. Se a saída estiver vazia, seu grupo de segurança não se associará a nenhum recurso da AWS.

Exemplo de saída de comando:

{
    "NetworkInterfaces": []
}

Solucionar problemas de grupos de segurança em uma rede do Amazon VPC Lattice Service

Quando você exclui um grupo de segurança anexado a uma associação de VPC da rede do Amazon VPC Lattice Service, você recebe o seguinte erro:

“errorCode”: “Client.DependencyViolation”

Observação: se você não conseguir identificar o nome do evento de erro, verifique se há um evento DeleteSecurityGroup nos seus logs do CloudTrail.

Para solucionar esse erro, conclua as etapas a seguir:

Abra o console da Amazon VPC.
Navegue até o serviço da VPC.
No painel de navegação esquerdo, escolha Redes de serviços.
Selecione uma rede de serviços na lista.
Escolha a guia Associação de VPC e, em seguida, verifique se há associações de VPC com uma ID de associação semelhante a snva-123b567891t1112a.
Escolha o ID de associação da VPC associado ao grupo de segurança.
Na seção de grupos de segurança, escolha Editar. Em seguida, exclua o grupo de segurança.

Configurar permissões para executar DeleteSecurityGroup

Configure as permissões apropriadas do AWS Identity and Access Management (AWS IAM) para usar a API DeleteSecurityGroup.

Importante: a API DeleteSecurityGroup falha quando o grupo de segurança que você deseja excluir está associado a uma instância ou referenciado em outro grupo de segurança. Nesses casos, a operação falha com um erro de DependencyViolation.

Se você tentar excluir um grupo de segurança sem as permissões corretas, receberá o seguinte erro:

“Failed to delete security groups. An unknown error happened. You are not authorized to perform ‘DeleteSecurityGroup’ operation”

Para solucionar o erro de operação DeleteSecurityGroup, conclua estas etapas:

Abra o console do AWS CloudTrail.
No painel de navegação, selecione Histórico de eventos.
Na lista suspensa Atributos de pesquisa, selecione Nome do evento.
Na caixa de pesquisa, insira DeleteSecurityGroup para ver as chamadas de API da operação.
Observação: a mensagem de erro “You are not authorized to perform this operation” na lista Histórico de eventos indica que o erro está relacionado às permissões do IAM.
Verifique se a ação DeleteSecurityGroup foi adicionada às políticas do usuário ou do perfil do IAM.
Para obter mais informações, consulte Adicionar e remover permissões de identidade do IAM.
No AWS Organizations, altere as políticas de controle de serviços (SCPs) da sua organização. Em seguida, altere as permissões do usuário ou do perfil do IAM.
Observação: se você não for o proprietário principal da conta da AWS, peça ao proprietário principal da conta que altere as SCPs. Para obter mais informações sobre SCPs, consulte Efeitos de SCP sobre permissões.

Verificar se há grupos de segurança em VPCs compartilhadas

Quando você tenta excluir um grupo de segurança em uma Amazon VPC compartilhada que você não possui, você recebe este erro:

“You are not authorized to perform DeleteSecurityGroup operation. A subnet in this vpc is shared but the provided object is not owned by you.”

Para solucionar o erro de operação DeleteSecurityGroup, conclua estas etapas:

Abra o console do AWS CloudTrail.
No painel de navegação, selecione Histórico de eventos.
Na lista suspensa Atributos de pesquisa, selecioneNome do evento.
Na caixa de pesquisa, insira DeleteSecurityGroup para ver as chamadas de API da operação.
Confirme se sua conta não é proprietária do grupo de segurança. Se outra conta em sua organização for proprietária do grupo de segurança, peça ao proprietário principal que exclua o grupo de segurança.

Informações relacionadas

Como posso excluir minha VPC que está compartilhada com outra conta da AWS?

Gerenciar as associações de uma rede do VPC Lattice Service

Tópicos: Compute Networking & Content Delivery
Tags: Amazon VPC Amazon EC2 Security Group
Idioma: Português

AWS OFICIALAtualizada há 7 meses

Sem comentários

Conteúdo relevante

Instancia não executa RDP após criar e excluir uma processo no Resource Scheduler Powered by AWS Solutions
Santos
feita há 5 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há 7 meses
Não consigo acessar RDS MySql pelo WorkBench
Resposta aceita
Ricardo
feita há 3 meses
Problema de acesso ao AWS Console por falta de MFA
Engeselt Energia
feita há um mês
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há 7 meses
Como resolvo um erro de dependência que recebo quando tento excluir minha VPC?
AWS OFICIALAtualizada há um ano
Por que não consigo me conectar a um serviço quando o grupo de segurança e a ACL da rede permitem tráfego de entrada?
AWS OFICIALAtualizada há 3 anos
Por que não consigo excluir meus recursos de cluster do Amazon EKS?
AWS OFICIALAtualizada há 6 meses
Como posso excluir minha VPC que está compartilhada com outra conta da AWS?
AWS OFICIALAtualizada há 4 anos
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 3 meses