¿Por qué no puedo eliminar un grupo de seguridad asociado a mi VPC de Amazon?

7 minutos de lectura
0

Cuando intento eliminar un grupo de seguridad de Amazon Virtual Private Cloud (Amazon VPC), se muestran errores.

Resolución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Errores de solución de problemas de la AWS CLI. Además, compruebe si está utilizando la versión más reciente de la AWS CLI.

Es posible que se muestren errores cuando intente eliminar un grupo de seguridad, por los motivos que se explican a continuación.

El grupo de seguridad es un grupo de seguridad predeterminado

Todas las VPC de Amazon tienen un grupo de seguridad predeterminado. Cuando no se especifica ningún grupo de seguridad, se asocia automáticamente un grupo de seguridad predeterminado a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) recién lanzada.

Cuando intenta eliminar un grupo de seguridad predeterminado, aparece el siguiente error:

«error: Client.CannotDelete»

No puede eliminar un grupo de seguridad predeterminado. Sin embargo, sí que puede cambiar las reglas del grupo de seguridad predeterminado. Para obtener más información, consulte Default security groups for your VPCs.

Se hace referencia al grupo de seguridad mediante su propia regla o mediante la regla de otro grupo de seguridad

Si la regla de un grupo de seguridad hace referencia a dicho grupo, es posible que se muestre un error. Para solucionar este problema, elimine la regla antes de eliminar el grupo de seguridad.

Para eliminar una regla que hace referencia al grupo de seguridad, siga estos pasos:

  1. Abra la consola de Amazon VPC.
  2. En el panel de navegación, seleccione Grupos de seguridad.
  3. Seleccione el grupo de seguridad que desea actualizar.
  4. Elija Acciones, Editar reglas de entrada o Acciones, Editar reglas de salida.
  5. Seleccione Eliminar para la regla que desea eliminar.
  6. Seleccione Guardar reglas.

Para obtener más información sobre cómo actualizar las reglas de un grupo de seguridad, consulte Security group rules.

Si intenta eliminar un grupo de seguridad al que hace referencia una regla de otro grupo de seguridad, aparecerá el siguiente error:

«An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object»

Si una regla de otro grupo de seguridad hace referencia al grupo de seguridad que desea eliminar, elimine la regla antes de eliminar el grupo de seguridad en cuestión.

Un grupo de seguridad en otra VPC de Amazon con una conexión de emparejamiento establecida podría hacer referencia al grupo de seguridad que desea eliminar. Antes de eliminar el grupo de seguridad, elimine la regla o la conexión de emparejamiento de VPC de Amazon.

Nota: Utilice la API DescribeSecurityGroupReferences para describir el otro extremo de una conexión de emparejamiento de VPC de Amazon que hace referencia al grupo de seguridad.

El grupo de seguridad está asociado a un recurso de AWS

No puede eliminar un grupo de seguridad asociado a un recurso de AWS, por ejemplo, una instancia de Amazon EC2 o un enlace de VPC de Amazon API Gateway.

Se muestra el siguiente error:

«Some security groups can't be deleted. The following security groups can't be deleted. These security groups are the default security groups, referenced by other security groups, or are associated with instances or network interfaces».

Para determinar qué recursos utilizan un grupo de seguridad, consulte ¿Cómo puedo encontrar los recursos asociados a un grupo de seguridad de Amazon EC2?

Importante: Una vez creado un enlace de VPC, no podrá cambiar sus grupos de seguridad ni sus subredes.

Para cambiar el grupo de seguridad asignado a una instancia, consulte Work with security groups.

El grupo de seguridad está asociado a una interfaz de red

No puede eliminar un grupo de seguridad asociado a una interfaz de red administrada por el solicitante. Las interfaces de red administradas por el solicitante se crean automáticamente para los recursos administrados, como los nodos del equilibrador de carga de aplicación. Algunos servicios y recursos de AWS tienen grupos de seguridad que siempre están conectados a la interfaz de red elástica, por ejemplo, AWS Lambda, Amazon FSx, Amazon ElastiCache para Redis y ElastiCache para Memcached.

Para eliminar o desconectar interfaces de red, consulte Eliminar una interfaz de red.

No puede eliminar un grupo de seguridad asociado a una interfaz de red que se utiliza para puntos de enlace de VPC de Amazon.

Cuando intenta eliminar un grupo de seguridad, aparece el siguiente error:

«An error occurred (DependencyViolation) when calling the DeleteSecurityGroup operation: resource sg-xyz has a dependent object»

Para eliminar o reemplazar el grupo de seguridad del punto de enlace de la interfaz, siga estos pasos:

  1. Abra la consola de Amazon VPC.
  2. En el panel de navegación, elija Puntos de enlace.
  3. Seleccione el punto de enlace de la interfaz y elija Acciones, Administrar grupos de seguridad.
  4. Marque o desmarque los grupos de seguridad y, a continuación, elija Guardar.

Ejecute el comando describe-network-interfaces de la AWS CLI para buscar las interfaces de red asociadas a un grupo de seguridad. Sustituya <group-id> por el ID de su grupo de seguridad y <region> por su región de AWS:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=<group-id> --region <region> --output json

Revise la salida del comando. Si la salida está vacía, no hay ningún recurso asociado al grupo de seguridad.

Ejemplo de salida de comando:

{
    "NetworkInterfaces": []
}

No tiene autorización para realizar la operación DeleteSecurityGroup

Debe configurar los permisos de AWS Identity and Access Management (IAM) adecuados para utilizar la API DeleteSecurityGroup.

Importante: La API DeleteSecurityGroup falla si el grupo de seguridad que desea eliminar está asociado a una instancia o se hace referencia a él en otro grupo de seguridad. En esos casos, la operación falla y aparece el error DependencyViolation.

Si intenta eliminar un grupo de seguridad sin tener los permisos adecuados, se mostrará el siguiente error:

«Failed to delete security groups. An unknown error happened. You are not authorized to perform "DeleteSecurityGroup" operation»

Para solucionar el error de operación DeleteSecurityGroup, siga estos pasos:

  1. Abra la consola de AWS CloudTrail.
  2. En el panel de navegación, elija Historial de eventos.
  3. En la lista desplegable Atributos de búsqueda, elija Nombre del evento.
  4. En el cuadro de búsqueda, escriba DeleteSecurityGroup para ver las llamadas a la API de la operación.
  5. El siguiente mensaje de error de la lista del Historial de eventos indica que el error está relacionado con los permisos de IAM:
    «You are not authorized to perform this operation».
  6. Compruebe si la acción DeleteSecurityGroup se ha añadido a las políticas de AWS IAM necesarias para el usuario o el rol que elimina la acción.
    Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.
  7. En AWS Organizations, cambie las políticas de control de servicios (SCP) de su organización. A continuación, cambie los permisos del usuario o rol de IAM.
    Nota: Si no es el propietario principal de la cuenta, pídale al propietario principal que cambie las SCP.

Para obtener más información sobre las SCP, consulte SCP effects on permissions.

Los usuarios no pueden eliminar los grupos de seguridad creados por los propietarios de las VPC

Si intenta eliminar un grupo de seguridad que se encuentra en una VPC de Amazon compartida que no es de su propiedad, se mostrará este error:

«You are not authorized to perform DeleteSecurityGroup operation. A subnet in this vpc is shared but the provided object is not owned by you».

Para solucionar el error de operación DeleteSecurityGroup, siga estos pasos:

  1. Abra la consola de AWS CloudTrail.
  2. En el panel de navegación, elija Historial de eventos.
  3. En la lista desplegable Atributos de búsqueda, elija Nombre del evento.
  4. En el cuadro de búsqueda, escriba DeleteSecurityGroup para ver las llamadas a la API de la operación.
  5. Confirme que su cuenta no es la propietaria del grupo de seguridad. Si otra cuenta de su organización es propietaria del grupo de seguridad, pida al propietario principal que elimine el grupo de seguridad.

Información relacionada

¿Cómo puedo eliminar la VPC que se comparte con otra cuenta de AWS?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año