Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Warum kann ich eine an meine Amazon VPC angehängte Sicherheitsgruppe nicht löschen?

Lesedauer: 6 Minute
0

Ich erhalte Fehlermeldungen, wenn ich versuche, eine Sicherheitsgruppe für meine Amazon Virtual Private Cloud (Amazon VPC) zu löschen.

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI-Version verwendest.

Vergewissere dich, dass die Sicherheitsgruppe keine Standardsicherheitsgruppe ist

Jede Amazon VPC verfügt über eine Standardsicherheitsgruppe. Wenn du eine neue Amazon Elastic Compute Cloud (Amazon EC2) Instance startest und keine Standardsicherheitsgruppe angibst, weist AWS automatisch eine Standardsicherheitsgruppe zu.

Wenn du versuchst, eine Standardsicherheitsgruppe zu löschen, wird die folgende Fehlermeldung angezeigt:

„error: Client.CannotDelete"

Sie können eine Standardsicherheitsgruppe nicht löschen. Du kannst jedoch die Regeln deiner Standardsicherheitsgruppe ändern.

Stelle sicher, dass keine Sicherheitsgruppenregeln auf deine Sicherheitsgruppe verweisen

Bevor du deine Sicherheitsgruppe löschst, führe die folgenden Schritte aus, um ihre Sicherheitsgruppenregel zu entfernen:

  1. Öffne die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
  3. Wählen Sie die Sicherheitsgruppe aus, die Sie aktualisieren möchten.
  4. Wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten oder Aktionen, Regeln für ausgehenden Datenverkehr bearbeiten.
  5. Wählen Sie Löschen für die Regel, die Sie löschen möchten.
  6. Wähle Regeln speichern aus.

Wenn du versuchst, eine Sicherheitsgruppe zu löschen, auf die eine Regel einer anderen Sicherheitsgruppe verweist, wird folgende Fehlermeldung angezeigt:

„Beim Aufrufen des DeleteSecurityGroup-Vorgangs ist ein Fehler aufgetreten (DependencyViolation): Die Ressource sg-xyz verfügt über ein abhängiges Objekt“

Entferne alle Regeln in anderen Sicherheitsgruppen, die auf die Sicherheitsgruppe verweisen, die du löschen möchtest.

Wenn eine Sicherheitsgruppe in einer anderen Amazon VPC mit einer etablierten Peering-Verbindung auf deine Sicherheitsgruppe verweist, lösche entweder die Regel oder die Verbindung.

**Hinweis:**Verwende die DescribeSecurityGroupReferences-API, um das andere Ende einer Amazon VPC-Peering-Verbindung zu beschreiben, die auf die Sicherheitsgruppe verweist, die du löschen möchtest.

Trenne deine Sicherheitsgruppe, die einer AWS-Ressource zugeordnet ist

Wenn die Sicherheitsgruppe, die du löschen möchtest, einer AWS-Ressource zugeordnet ist, trenne diese Verbindung. Es ist nicht möglich, Sicherheitsgruppen zu löschen, die einer AWS-Ressource zugeordnet sind, z. B. einer Amazon EC2 Instance oder einem Amazon-API-Gateway-VPC-Link.

**Wichtig:**Nachdem du einen VPC-Link erstellt hast, kannst du seine Sicherheitsgruppen oder Subnetze nicht mehr ändern.

Wird folgende Fehlermeldung angezeigt, ist deine Sicherheitsgruppe einer AWS-Ressource zugeordnet:

„Einige Sicherheitsgruppen können nicht gelöscht werden. Die folgenden Sicherheitsgruppen können nicht gelöscht werden. Diese Sicherheitsgruppen sind die Standardsicherheitsgruppen, auf die von anderen Sicherheitsgruppen verwiesen wird, oder sie sind Instances oder Netzwerkschnittstellen zugeordnet.“

Informationen darüber, welche Ressourcen eine Sicherheitsgruppe verwendet, findest du unter Wie finde ich die Ressourcen, die einer Amazon-EC2-Sicherheitsgruppe zugeordnet sind?

Lösche Sicherheitsgruppen, die einer Netzwerkschnittstelle zugeordnet sind

Sicherheitsgruppen, die einer Anforderer-verwalteten Netzwerkschnittstelle zugeordnet sind, können nicht gelöscht werden.

Informationen zum Löschen oder Trennen von Netzwerkschnittstellen findest du unter Löschen einer Netzwerkschnittstelle.

Sicherheitsgruppen, die einer Netzwerkschnittstelle zugeordnet sind, die von Amazon-VPC-Endpunkten verwendet wird, können nicht gelöscht werden.

Wenn du versuchst, eine Sicherheitsgruppe zu löschen, die einer Netzwerkschnittstelle zugeordnet ist, die von Amazon-VPC-Endpunkten verwendet wird, erhältst du diese Fehlermeldung:

„Beim Aufrufen des DeleteSecurityGroup-Vorgangs ist ein Fehler aufgetreten (DependencyViolation): Die Ressource sg-xyz verfügt über ein abhängiges Objekt“

Gehen Sie wie folgt vor, um die Sicherheitsgruppe vom Schnittstellenendpunkt zu entfernen oder zu ersetzen:

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Endpunkte aus.
  3. Wählen Sie den Schnittstellenendpunkt aus und wählen Sie dann Aktionen, Verwalten von Sicherheitsgruppen.
  4. Wähle die Sicherheitsgruppen nach Bedarf aus oder deaktiviere sie, und wähle dann Speichern.

Führe den AWS-CLI-Befehl describe-network-interfaces aus, um Netzwerkschnittstellen zu finden, die einer Sicherheitsgruppe zugeordnet sind:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=example-group-id --region example-region --output json

Hinweis: Ersetze example-group-id durch die ID deiner Sicherheitsgruppe und example-region durch deine AWS-Region.

Überprüfe die Befehlsausgabe. Wenn die Ausgabe leer ist, sind deiner Sicherheitsgruppe keine AWS-Ressourcen zugeordnet.

Beispiel für eine Befehlsausgabe:

{
    "NetworkInterfaces": []
}

Fehlerbehebung bei Sicherheitsgruppen in einem Amazon-VPC-Lattice-Service-Netzwerk

Wenn du eine Sicherheitsgruppe löschst, die du an eine Amazon-VPC-Lattice-Service-Netzwerk-VPC-Zuordnung angehängt hast, wird die folgende Fehlermeldung angezeigt:

"errorCode": „Client.DependencyViolation“

Hinweis: Wenn du den Namen des Fehlerereignisses nicht ermitteln kannst, suche in deinen CloudTrail-Protokollen nach einem DeleteSecurityGroup-Ereignis.

Führe die folgenden Schritte aus, um diesen Fehler zu beheben:

  1. Öffne die Amazon-VPC-Konsole.
  2. Begib dich zum VPC-Service.
  3. Wähle im linken Navigationsbereich Service-Netzwerke aus.
  4. Wähle ein Service-Netzwerk aus der Liste aus.
  5. Wähle die Registerkarte VPC-Zuordnung und suche dann nach VPC-Zuordnungen mit einer Zuordnungs-ID, die snva-123b567891t1112a ähnelt.
  6. Wähle die VPC-Zuordnungs-ID, die der Sicherheitsgruppe zugeordnet ist.
  7. Wähle im Abschnitt Sicherheitsgruppen die Option Bearbeiten aus. Lösche danach die Sicherheitsgruppe.

Richte Berechtigungen ein, um DeleteSecurityGroup auszuführen

Du musst die entsprechenden Berechtigungen bei AWS Identity and Access Management (IAM) einrichten, um die API DeleteSecurityGroup verwenden zu können.

**Wichtig:**Der API DeleteSecurityGroup schlägt fehl, wenn die Sicherheitsgruppe, die Sie löschen möchten, einer Instance zugeordnet ist oder in einer anderen Sicherheitsgruppe referenziert wird. In diesen Fällen schlägt der Vorgang mit einem DependencyViolation-Fehler fehl.

Wenn du versuchst, eine Sicherheitsgruppe zu löschen, obwohl dir die erforderlichen Berechtigungen fehlen, wird die folgende Fehlermeldung angezeigt:

„Fehler beim Löschen von Sicherheitsgruppen. Ein unbekannter Fehler ist aufgetreten. Sie sind nicht berechtigt, den Vorgang „DeleteSecurityGroup“ auszuführen“

Gehen Sie wie folgt vor, um den DeleteSecurityGroup-Betriebsfehler zu beheben:

  1. Öffnen Sie die AWS-CloudTrail-Konsole.
  2. Wähle im Navigationsbereich die Option Ereignisverlauf aus.
  3. Wähle in der Dropdownliste Suchattribute die Option Ereignisname aus.
  4. Gib in das Suchfeld DeleteSecurityGroup ein, um die API-Aufrufe des Vorgangs anzuzeigen.
    Hinweis: Die Fehlermeldung „You are not authorized to perform this operation“ in der Ereignisverlauf-Liste weist darauf hin, dass der Fehler mit IAM-Berechtigungen zusammenhängt.
  5. Vergewissere dich, dass die Aktion DeleteSecurityGroup zu den Richtlinien für den IAM-Benutzer oder die IAM-Rolle hinzugefügt wurde.
    Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
  6. Ändern Sie in AWS Organizations die Service-Kontrollrichtlinien (SCPs) Ihrer Organisation. Ändern Sie dann die Berechtigungen für den IAM-Benutzer oder die IAM-Rolle.
    Hinweis: Wenn du nicht der primäre Kontoinhaber bist, fordere den primären Kontoinhaber auf, die SCPs zu ändern. Weitere Informationen zu SCPs finden Sie unter SCP-Auswirkungen auf Berechtigungen.

Suche in gemeinsam genutzten VPCs nach Sicherheitsgruppen

Wenn du versuchst, eine Sicherheitsgruppe zu löschen, die sich in einer gemeinsam genutzten Amazon VPC befindet, die nicht in deinem Besitz ist, wird folgende Fehlermeldung angezeigt:

„Sie sind nicht berechtigt, den Vorgang DeleteSecurityGroup auszuführen. Ein Subnetz in dieser VPC wird gemeinsam genutzt, aber das bereitgestellte Objekt gehört Ihnen nicht.“

Gehen Sie wie folgt vor, um den DeleteSecurityGroup-Betriebsfehler zu beheben:

  1. Öffnen Sie die AWS-CloudTrail-Konsole.
  2. Wählen Sie im Navigationsbereich die Option Aktivitätsverlauf aus.
  3. Wählen Sie in der Dropdownliste Suchattribute die Option Ereignisname aus.
  4. Geben Sie in das Suchfeld DeleteSecurityGroup ein, um die API-Aufrufe des Vorgangs anzuzeigen.
  5. Vergewissern Sie sich, dass Ihr Konto nicht Eigentümer der Sicherheitsgruppe ist. Wenn ein anderes Konto in Ihrer Organisation Eigentümer der Sicherheitsgruppe ist, bitten Sie den primären Besitzer, die Sicherheitsgruppe zu löschen.

Verwandte Informationen

Wie kann ich meine VPC löschen, die mit einem anderen AWS-Konto geteilt wird?

Verwaltung der Verknüpfungen für ein VPC-Lattice-Servicenetzwerk

Themen
Vernetzung & Bereitstellung von InhaltenKalkulation
Tags
Amazon VPCAmazon EC2Security Group
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 23 Tagen

Relevanter Inhalt