¿Por qué no puedo eliminar un grupo de seguridad asociado a mi VPC de Amazon?

8 minutos de lectura

Cuando elimino un grupo de seguridad de Amazon Virtual Private Cloud (Amazon VPC), recibo errores.

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Comprueba que el grupo de seguridad no sea un grupo de seguridad predeterminado

Cada instancia de Amazon VPC tiene un grupo de seguridad predeterminado. Si lanzas una nueva instancia de Amazon Elastic Compute Cloud (Amazon EC2) y no especificas un grupo de seguridad predeterminado, AWS asocia automáticamente un grupo de seguridad predeterminado.

Cuando intentas eliminar un grupo de seguridad predeterminado, aparece el siguiente error:

"error: Client.CannotDelete"

No puedes eliminar un grupo de seguridad predeterminado. Sin embargo, puedes modificar las reglas de tu grupo de seguridad predeterminado.

Asegúrate de que la regla de un grupo de seguridad no haga referencia a tu grupo de seguridad

Antes de eliminar el grupo de seguridad, sigue estos pasos para eliminar la regla del grupo de seguridad:

Abre la consola de Amazon VPC.
En el panel de navegación, selecciona Grupos de seguridad.
Selecciona el grupo de seguridad que deseas actualizar.
Elige Acciones, Editar reglas de entrada o Acciones, Editar reglas de salida.
Selecciona Eliminar para la regla que deseas eliminar.
Selecciona Guardar reglas.

Si intentas eliminar un grupo de seguridad al que hace referencia una regla de otro grupo de seguridad, aparecerá el siguiente error:

"Se ha producido un error (DependencyViolation) al llamar a la operación DeleteSecurityGroup: el recurso sg-xyz tiene un objeto dependiente"

Elimina las reglas de otros grupos de seguridad que hagan referencia al grupo de seguridad que deseas eliminar.

Si un grupo de seguridad de otra instancia de Amazon VPC con una conexión de emparejamiento establecida hace referencia a tu grupo de seguridad, elimina la regla o la conexión.

Nota: Utiliza la API DescribeSecurityGroupReferences para describir el otro extremo de una conexión de emparejamiento de VPC de Amazon que hace referencia al grupo de seguridad.

Quitar la asociación del grupo de seguridad que se asocia a un recurso de AWS

Si el grupo de seguridad que deseas eliminar está asociado a un recurso de AWS, elimina esa asociación. No puedes eliminar un grupo de seguridad asociado a un recurso de AWS como, por ejemplo, una instancia de Amazon EC2 o un enlace de VPC de Amazon API Gateway.

Importante: Una vez creado un enlace de VPC, no podrás cambiar sus grupos de seguridad ni subredes.

Si recibes el siguiente error, quiere decir que el grupo de seguridad está asociado a un recurso de AWS:

"Some security groups can't be deleted. (Algunos grupos de seguridad no se pueden eliminar.) The following security groups can't be deleted. (Los siguentes grupos de seguridad no se pueden eliminar.) These security groups are the default security groups, referenced by other security groups, or are associated with instances or network interfaces". (Estos grupos de seguridad son grupos de seguridad predeterminados, a los que hacen referencia otros grupos de seguridad o están asociados a instancias o interfaces de red.)

Para determinar qué recursos utilizan un grupo de seguridad, consulta ¿Cómo puedo encontrar los recursos asociados a un grupo de seguridad de Amazon EC2?

Eliminar un grupo de seguridad asociado a una interfaz de red

No puedes eliminar un grupo de seguridad asociado a una interfaz de red administrada por el solicitante.

Para eliminar o desconectar interfaces de red, consulta Eliminar una interfaz de red.

No puedes eliminar un grupo de seguridad asociado a una interfaz de red que se usa en puntos de enlace de Amazon VPC.

Cuando intentas eliminar un grupo de seguridad asociado a una interfaz de red que utilizan los puntos de enlace de Amazon VPC, verás este error:

"Se ha producido un error (DependencyViolation) al llamar a la operación DeleteSecurityGroup: el recurso sg-xyz tiene un objeto dependiente"

Para eliminar o reemplazar el grupo de seguridad del punto de enlace de la interfaz, sigue estos pasos:

Abre la consola de Amazon VPC.
En el panel de navegación, elige Puntos de enlace.
Selecciona el punto de enlace de la interfaz y elige Acciones, Administrar grupos de seguridad.
Marca o desmarca los grupos de seguridad y, a continuación, elige Guardar.

Ejecuta el comando describe-network-interfaces de la AWS CLI para buscar las interfaces de red asociadas a un grupo de seguridad:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=example-group-id --region example-region --output json

Nota: Sustituye example-group-id por el id. de tu grupo de seguridad y example-region por tu región de AWS.

Revisa la salida del comando. Si el resultado está vacío, significa que tu grupo de seguridad no se asocia a ningún recurso de AWS.

Ejemplo de salida de comando:

{
    "NetworkInterfaces": []
}

Solucionar problemas con los grupos de seguridad en una red de servicios de Amazon VPC Lattice

Cuando eliminas un grupo de seguridad que has adjuntado a una asociación de VPC de la red servicios de Amazon VPC Lattice, verás el siguiente error:

"errorCode": "Client.DependencyViolation"

**Nota:**Si no puedes identificar el nombre del evento de error, comprueba si hay un evento DeleteSecurityGroup en tus registros de CloudTrail.

Para solucionar este problema, sigue estos pasos.

Abre la consola de Amazon VPC.
Ve al servicio de VPC.
En el panel de navegación izquierdo, selecciona Redes de servicio.
Selecciona una red de servicio de la lista.
Selecciona la pestaña de asociación de VPC y, a continuación, comprueba si hay asociaciones de VPC con un identificador de asociación similar a snva-123b567891t1112a.
Elige el id. de asociación de VPC que está asociado al grupo de seguridad.
En la sección de grupos de seguridad, elige Editar. A continuación, elimina el grupo de seguridad.

Configurar los permisos para realizar DeleteSecurityGroup

Debes configurar los permisos de AWS Identity and Access Management (IAM) adecuados para utilizar la API DeleteSecurityGroup.

Importante: La API DeleteSecurityGroup falla si el grupo de seguridad que deseas eliminar está asociado a una instancia o se hace referencia a él en otro grupo de seguridad. En esos casos, la operación falla y aparece el error DependencyViolation.

Si intentas eliminar un grupo de seguridad sin los permisos correctos, verás el siguiente error:

"Failed to delete security groups. An unknown error happened. You are not authorized to perform 'DeleteSecurityGroup' operation"

Para solucionar el error de operación DeleteSecurityGroup, sigue estos pasos:

Abre la consola de AWS CloudTrail.
En el panel de navegación, elige Historial de eventos.
En la lista desplegable Atributos de búsqueda, elige Nombre del evento.
En el cuadro de búsqueda, escribe DeleteSecurityGroup para ver las llamadas a la API de la operación.
Nota: El mensaje de error "No tienes autorización para realizar esta operación" de la lista del historial de eventos indica que el error está relacionado con los permisos de IAM.
Comprueba que la acción DeleteSecurityGroup se haya agregado a las políticas del usuario o rol de IAM.
Para obtener más información, consulta Adición y eliminación de permisos de identidad de IAM.
En AWS Organizations, cambia las políticas de control de servicios (SCP) de su organización. A continuación, cambia los permisos del usuario o rol de IAM.
Nota: Si no eres el propietario principal de la cuenta de AWS, pídele al propietario principal que cambie las SCP. Para obtener más información sobre las SCP, consulta SCP effects on permissions.

Comprueba si hay grupos de seguridad en las VPC compartidas

Si intentas eliminar un grupo de seguridad que se encuentra en una VPC de Amazon compartida que no es de tu propiedad, se mostrará este error:

"You are not authorized to perform DeleteSecurityGroup operation. A subnet in this vpc is shared but the provided object is not owned by you".

Para solucionar el error de operación DeleteSecurityGroup, sigue estos pasos:

Abre la consola de AWS CloudTrail.
En el panel de navegación, elige Historial de eventos.
En la lista desplegable Atributos de búsqueda, elige Nombre del evento.
En el cuadro de búsqueda, escribe DeleteSecurityGroup para ver las llamadas a la API de la operación.
Confirma que tu cuenta no es la propietaria del grupo de seguridad. Si otra cuenta de su organización es propietaria del grupo de seguridad, pide al propietario principal que elimine el grupo de seguridad.

Información relacionada

¿Cómo puedo eliminar la VPC que se comparte con otra cuenta de AWS?

Gestionar las asociaciones de una red de servicios de VPC Lattice

Temas: Compute Networking & Content Delivery
Etiquetas: Amazon VPC Amazon EC2 Security Group
Idioma: Español

OFICIAL DE AWSActualizada hace 7 meses

Sin comentarios

Contenido relevante

Como validar que servicios protege AWS Guarduty si no tengo Findings.
Respuesta aceptada
David
preguntada hace 8 meses
no me puedo conectar a mi servidor
rafafer
preguntada hace 15 días
No se puede acceder a IPv4 (pública)
Gianpiero S
preguntada hace 8 meses
¿Porque el grupo destino en una instancia EC2 se desvincula?
LuisRodriguez
preguntada hace 3 meses
no puedo Eliminar direccion IP elastica
Luis
preguntada hace 8 meses
¿Cómo encuentro los recursos asociados a un grupo de seguridad de Amazon EC2?
OFICIAL DE AWSActualizada hace 3 meses
¿Por qué no puedo conectarme a un servicio cuando el grupo de seguridad y la ACL de red permiten el tráfico entrante?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo soluciono un error de dependencia que recibo cuando intento eliminar mi VPC?
OFICIAL DE AWSActualizada hace un año
¿Qué hago si mi clúster de Amazon ECS no se elimina como parte de una pila de AWS CloudFormation?
OFICIAL DE AWSActualizada hace un año