Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Warum kann ich eine an meine Amazon VPC angehängte Sicherheitsgruppe nicht löschen?

Lesedauer: 6 Minute
0

Ich erhalte eine Fehlermeldung, wenn ich versuche, eine Sicherheitsgruppe für meine Amazon Virtual Private Cloud (Amazon VPC) zu löschen.

Behebung

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Beheben von Fehlern in der AWS CLI. Stellen Sie außerdem sicher, dass Sie die neueste Version der AWS CLI verwenden.

Wenn Sie versuchen, eine Sicherheitsgruppe zu löschen, erhalten Sie aus diesen Gründen möglicherweise Fehler.

Die Sicherheitsgruppe ist eine Standardsicherheitsgruppe

Alle Amazon VPCs haben eine Standardsicherheitsgruppe. Wenn keine andere Sicherheitsgruppe angegeben ist, wird eine Standardsicherheitsgruppe automatisch einer neu gestarteten Amazon Elastic Compute Cloud (Amazon EC2)-Instance zugeordnet.

Wenn Sie versuchen, eine Standardsicherheitsgruppe zu löschen, wird die folgende Fehlermeldung angezeigt:

„error: Client.CannotDelete"

Sie können eine Standardsicherheitsgruppe nicht löschen. Sie können jedoch die Regeln der Standardsicherheitsgruppe ändern. Weitere Informationen finden Sie unter Standardsicherheitsgruppen für Ihre VPCs.

Die Sicherheitsgruppenregel verweist auf ihre eigene Sicherheitsgruppe oder die Regel einer anderen Sicherheitsgruppe verweist darauf

Möglicherweise wird eine Fehlermeldung angezeigt, weil die eigene Regel der Sicherheitsgruppe auf die Sicherheitsgruppe verweist. Um dieses Problem zu beheben, entfernen Sie die Regel, bevor Sie die Sicherheitsgruppe löschen.

Gehen Sie wie folgt vor, um eine Regel zu entfernen, die auf die Sicherheitsgruppe verweist:

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
  3. Wählen Sie die Sicherheitsgruppe aus, die Sie aktualisieren möchten.
  4. Wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten oder Aktionen, Regeln für ausgehenden Datenverkehr bearbeiten.
  5. Wählen Sie Löschen für die Regel, die Sie löschen möchten.
  6. Wählen Sie Regeln speichern.

Weitere Informationen zum Ändern von Sicherheitsgruppenregeln finden Sie unter Regeln für Sicherheitsgruppen.

Wenn Sie versuchen, eine Sicherheitsgruppe zu löschen, auf die die Regel einer anderen Sicherheitsgruppe verweist, wird folgende Fehlermeldung angezeigt:

„Beim Aufrufen des DeleteSecurityGroup-Vorgangs ist ein Fehler aufgetreten (DependencyViolation): Die Ressource sg-xyz verfügt über ein abhängiges Objekt“

Wenn die Regel einer anderen Sicherheitsgruppe auf die Sicherheitsgruppe verweist, die Sie löschen möchten, entfernen Sie die Regel, bevor Sie die Sicherheitsgruppe löschen.

Eine Sicherheitsgruppe in einer anderen Amazon VPC mit einer bestehenden Peering-Verbindung verweist möglicherweise auf die Sicherheitsgruppe, die Sie löschen möchten. Um die Sicherheitsgruppe zu löschen, entfernen Sie entweder den Verweis oder löschen Sie die VPC-Peering-Verbindung.

**Hinweis:**Verwenden Sie die DescribeSecurityGroupReferences-API, um das andere Ende einer Amazon VPC-Peering-Verbindung zu beschreiben, die auf die Sicherheitsgruppe verweist, die Sie löschen möchten.

Die Sicherheitsgruppe ist mit einer AWS-Ressource verknüpft

Sie können keine Sicherheitsgruppe löschen, die mit einer AWS-Ressource verknüpft ist, z. B. einer Amazon EC2-Instance oder einem Amazon API Gateway VPC-Link.

Sie erhalten die folgende Fehlermeldung:

„Einige Sicherheitsgruppen können nicht gelöscht werden. Die folgenden Sicherheitsgruppen können nicht gelöscht werden. Diese Sicherheitsgruppen sind die Standardsicherheitsgruppen, auf die von anderen Sicherheitsgruppen verwiesen wird, oder sie sind Instanzen oder Netzwerk-Schnittstellen zugeordnet.“

Informationen darüber, welche Ressourcen eine Sicherheitsgruppe verwenden, finden Sie unter Wie finde ich die Ressourcen, die einer Amazon EC2-Sicherheitsgruppe zugeordnet sind?

**Wichtig:**Nachdem Sie einen VPC-Link erstellt haben, können Sie seine Sicherheitsgruppen oder Subnetze nicht mehr ändern.

Informationen zum Ändern der Sicherheitsgruppe, die einer Instance zugewiesen ist, finden Sie unter Arbeiten mit Sicherheitsgruppen.

Die Sicherheitsgruppe ist mit einer Netzwerk-Schnittstelle verknüpft

Sie können keine Sicherheitsgruppe löschen, die mit einer vom Anforderer verwalteten Netzwerk-Schnittstelle verknüpft ist. Vom Anforderer verwaltete Netzwerk-Schnittstellen werden automatisch für verwaltete Ressourcen wie Application Load Balancer-Knoten erstellt. Einige AWS-Services und -Ressourcen verfügen über Sicherheitsgruppen, die immer mit der Elastic Netzwerk-Schnittstelle verbunden sind. Beispiele hierfür sind AWS Lambda, Amazon FSx, Amazon ElastiCache for Redis und ElastiCache for Memcached.

Informationen zum Löschen oder Trennen von Netzwerk-Schnittstellen finden Sie unter Löschen einer Netzwerk-Schnittstelle.

Sie können eine Sicherheitsgruppe nicht löschen, die mit einer Netzwerk-Schnittstelle verknüpft ist, die auf Amazon VPC-Endpunkten verwendet wird.

Wenn Sie versuchen, eine Sicherheitsgruppe zu löschen, erhalten Sie folgenden Fehler:

„Beim Aufrufen des DeleteSecurityGroup-Vorgangs ist ein Fehler aufgetreten (DependencyViolation): Die Ressource sg-xyz verfügt über ein abhängiges Objekt“

Gehen Sie wie folgt vor, um die Sicherheitsgruppe vom Schnittstellenendpunkt zu entfernen oder zu ersetzen:

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Endpunkte aus.
  3. Wählen Sie den Schnittstellenendpunkt aus und wählen Sie dann Aktionen, Verwalten von Sicherheitsgruppen.
  4. Wählen Sie die Sicherheitsgruppen nach Bedarf aus oder deaktivieren Sie sie, und wählen Sie dann Speichern.

Führen Sie den AWS-CLI-Befehl describe-network-interfaces aus, um Netzwerk-Schnittstellen zu finden, die einer Sicherheitsgruppe zugeordnet sind.Ersetzen Sie **<group-id>mit der ID Ihrer Sicherheitsgruppe und<region>**mit Ihrer AWS-Region:

aws ec2 describe-network-interfaces --filters Name=group-id,Values=<group-id> --region <region> --output json

Überprüfen Sie die Befehlsausgabe. Wenn die Ausgabe leer ist, sind der Sicherheitsgruppe keine Ressourcen zugeordnet.

Beispiel für eine Befehlsausgabe:

{
    "NetworkInterfaces": []
}

Sie sind nicht berechtigt, den Vorgang DeleteSecurityGroup durchzuführen

Sie müssen die entsprechenden AWS Identity and Access Management (IAM)-Berechtigungen einrichten, um den API DeleteSecurityGroup verwenden zu können.

**Wichtig:**Der API DeleteSecurityGroup schlägt fehl, wenn die Sicherheitsgruppe, die Sie löschen möchten, einer Instance zugeordnet ist oder in einer anderen Sicherheitsgruppe referenziert wird. In diesen Fällen schlägt der Vorgang mit einem DependencyViolation-Fehler fehl.

Wenn Sie versuchen, eine Sicherheitsgruppe zu löschen, aber nicht über die richtigen Berechtigungen verfügen, wird die folgende Fehlermeldung angezeigt:

„Fehler beim Löschen von Sicherheitsgruppen. Ein unbekannter Fehler ist aufgetreten. Sie sind nicht berechtigt, den Vorgang „DeleteSecurityGroup“ auszuführen“

Gehen Sie wie folgt vor, um den DeleteSecurityGroup-Betriebsfehler zu beheben:

  1. Öffnen Sie die AWS-CloudTrail-Konsole.
  2. Wählen Sie im Navigationsbereich die Option Aktivitätsverlauf aus.
  3. Wählen Sie in der Dropdownliste Suchattribute die Option Ereignisname aus.
  4. Geben Sie in das Suchfeld DeleteSecurityGroup ein, um die API-Aufrufe des Vorgangs anzuzeigen.
  5. Die folgende Fehlermeldung in der Ereignisverlauf-Liste weist darauf hin, dass der Fehler mit IAM-Berechtigungen zusammenhängt:
    „Sie sind nicht berechtigt, diesen Vorgang auszuführen."
  6. Stellen Sie sicher, dass die Aktion DeleteSecurityGroup zu den erforderlichen AWS IAM-Richtlinien für den Benutzer oder die Rolle hinzugefügt wurde, der oder die die Aktion löscht.
    Weitere Informationen finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
  7. Ändern Sie in AWS Organizations die Service-Kontrollrichtlinien (SCPs) Ihrer Organisation. Ändern Sie dann die Berechtigungen für den IAM-Benutzer oder die IAM-Rolle.
    **Hinweis:**Wenn Sie nicht der primäre Kontoinhaber sind, bitten Sie den primären Kontoinhaber, die SCPs zu ändern.

Weitere Informationen zu SCPs finden Sie unter SCP-Auswirkungen auf Berechtigungen.

Benutzer können keine Sicherheitsgruppen löschen, die von VPC-Besitzern erstellt wurden

Wenn Sie versuchen, eine Sicherheitsgruppe zu löschen, die sich in einer gemeinsam genutzten Amazon-VPC befindet, die Sie nicht besitzen, wird folgende Fehlermeldung angezeigt:

„Sie sind nicht berechtigt, den Vorgang DeleteSecurityGroup auszuführen. Ein Subnetz in dieser VPC wird gemeinsam genutzt, aber das bereitgestellte Objekt gehört Ihnen nicht.“

Gehen Sie wie folgt vor, um den DeleteSecurityGroup-Betriebsfehler zu beheben:

  1. Öffnen Sie die AWS-CloudTrail-Konsole.
  2. Wählen Sie im Navigationsbereich die Option Aktivitätsverlauf aus.
  3. Wählen Sie in der Dropdownliste Suchattribute die Option Ereignisname aus.
  4. Geben Sie in das Suchfeld DeleteSecurityGroup ein, um die API-Aufrufe des Vorgangs anzuzeigen.
  5. Vergewissern Sie sich, dass Ihr Konto nicht Eigentümer der Sicherheitsgruppe ist. Wenn ein anderes Konto in Ihrer Organisation Eigentümer der Sicherheitsgruppe ist, bitten Sie den primären Besitzer, die Sicherheitsgruppe zu löschen.

Verwandte Informationen

Wie kann ich meine VPC löschen, die mit einem anderen AWS-Konto geteilt wird?

Themen
Vernetzung & Bereitstellung von InhaltenKalkulation
Tags
Amazon VPCAmazon EC2Security Group
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 6 Monaten

Relevanter Inhalt