# Controlar el tráfico hacia los recursos de AWS mediante grupos de seguridad
<a name="vpc-security-groups"></a>

Un *grupo de seguridad* controla el tráfico al que se permite llegar y dejar los recursos a los que está asociado. Por ejemplo, después de asociar un grupo de seguridad a una instancia de EC2, controla el tráfico de entrada y salida de la instancia.

Al crear una VPC, incluye un grupo de seguridad predeterminado. Puede crear grupos de seguridad adicionales para una VPC, cada uno con sus propias reglas de entrada y salida. Puede especificar el origen, el rango de puertos y el protocolo de cada regla de entrada. Puede especificar el destino, el rango de puertos y el protocolo de cada regla de salida.

En el siguiente diagrama se muestra una VPC con una subred, una puerta de enlace de Internet y un grupo de seguridad. La subred contiene una instancia de EC2. El grupo de seguridad se asigna a la instancia. El grupo de seguridad actúa como un firewall virtual. El único tráfico que llega a la instancia es el permitido por las reglas del grupo de seguridad. Por ejemplo, si el grupo de seguridad contiene una regla que permite el tráfico ICMP a la instancia desde su red, puede hacer ping a la instancia desde su equipo. Si el grupo de seguridad no contiene una regla que permita el tráfico SSH, no podrá conectarse a la instancia mediante SSH.

![\[Una VPC con dos subredes, dos grupos de seguridad y servidores en subredes asociadas a diferentes grupos de seguridad\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-group-overview.png)


**Topics**
+ [Conceptos básicos de los grupos de seguridad](#security-group-basics)
+ [Ejemplo de grupo de seguridad](#security-group-example-details)
+ [Reglas del grupo de seguridad](security-group-rules.md)
+ [Grupos de seguridad predeterminados](default-security-group.md)
+ [Creación de un grupo de seguridad](creating-security-groups.md)
+ [Configuración de reglas de grupos de seguridad](working-with-security-group-rules.md)
+ [Eliminación de un grupo de seguridad](deleting-security-groups.md)
+ [Asociación de grupos de seguridad a varias VPC](security-group-assoc.md)
+ [Compartir grupos de seguridad con AWS Organizations](security-group-sharing.md)

**Precios**  
El uso de grupos de seguridad no supone ningún cargo adicional.

## Conceptos básicos de los grupos de seguridad
<a name="security-group-basics"></a>
+ Puede asignar un grupo de seguridad a los recursos creados en la misma VPC que el grupo de seguridad o a los recursos de otras VPC si utiliza la [característica de asociación de VPC de grupos de seguridad](security-group-assoc.md) para asociar el grupo de seguridad a otras VPC de la misma región. También puede asignar varios grupos de seguridad a un único recurso.
+ Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:
  + El nombre de un grupo de seguridad debe ser único dentro de la VPC.
  + En los nombres de los grupos de seguridad no se distingue entre mayúsculas y minúsculas.
  + Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.
  + Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
  + Cuando el nombre contiene espacios finales, los recortamos. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".
  + El nombre del grupo de seguridad no puede comenzar con `sg-`.
+ Los grupos de seguridad son grupos con estado. Por ejemplo, si envía una solicitud desde una instancia, se permite el tráfico de respuesta de dicha solicitud para conectar la instancia independientemente de las reglas del grupo de seguridad de entrada. Se permiten las respuestas al tráfico de entrada para dejar la instancia, independientemente de las reglas de salida.
+ Los grupos de seguridad no filtran el tráfico destinado a los siguientes servicios ni desde estos:
  + Servicios de nombres de dominio de Amazon (DNS)
  + Protocolo de configuración dinámica de host de Amazon (DHCP)
  + Metadatos de la instancia de Amazon EC2
  + Puntos de conexión de metadatos de tareas de Amazon ECS
  + Activación de licencias para instancias de Windows
  + Servicio de sincronización temporal de Amazon
  + Direcciones IP reservadas del enrutador de la VPC predeterminado
+ Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md).

**Prácticas recomendadas**
+ Autorice solo a entidades principales de IAM específicas a crear y modificar grupos de seguridad.
+ Cree el número mínimo de grupos de seguridad que necesite para reducir el riesgo de error. Use cada grupo de seguridad para administrar el acceso a los recursos que tienen funciones y requisitos de seguridad similares.
+ Al agregar reglas entrantes para los puertos 22 (SSH) o 3389 (RDP) para acceder a sus instancias de EC2, autorice solo rangos de direcciones IP específicas. Si especifica 0.0.0.0/0 (IPv4) y ::/ (IPv6), esto permite a cualquier persona acceder a sus instancias desde cualquier dirección IP mediante el protocolo especificado.
+ No abra rangos de puertos grandes. Asegúrese de que el acceso a través de cada puerto esté restringido a las fuentes o destinos que lo requieran.
+ Considere crear ACL de red con reglas similares a sus grupos de seguridad para agregar una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte [Comparar grupos de seguridad y ACL de red](infrastructure-security.md#VPC_Security_Comparison).

## Ejemplo de grupo de seguridad
<a name="security-group-example-details"></a>

En el siguiente diagrama se muestra una VPC con dos grupos de seguridad y dos subredes. Las instancias de la subred A tienen los mismos requisitos de conectividad; por lo tanto, están asociadas al grupo de seguridad 1. Las instancias de la subred B tienen los mismos requisitos de conectividad; por lo tanto, están asociadas al grupo de seguridad 2. Las reglas del grupo de seguridad permiten el tráfico de la siguiente manera:
+ La primera regla de entrada del grupo de seguridad 1 permite el tráfico SSH a las instancias de la subred A desde el rango de direcciones especificado (por ejemplo, un rango de su propia red).
+ La segunda regla de entrada del grupo de seguridad 1 permite que las instancias de la subred A se comuniquen entre sí mediante cualquier protocolo o puerto.
+ La primera regla de entrada del grupo de seguridad 2 permite que las instancias de la subred B se comuniquen entre sí mediante cualquier protocolo o puerto.
+ La segunda regla de entrada del grupo de seguridad 2 permite que las instancias de la subred A se comuniquen con las instancias de la subred B mediante SSH.
+ Ambos grupos de seguridad utilizan la regla de salida predeterminada, la cual permite todo el tráfico.

![\[Una VPC con dos grupos de seguridad y servidores en dos subredes. Los servidores de la subred A están asociados al grupo de seguridad 1. Los servidores de la subred B están asociados al grupo de seguridad 2.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-group-details.png)


# Reglas del grupo de seguridad
<a name="security-group-rules"></a>

Las reglas de un grupo de seguridad controlan el tráfico de entrada que puede llegar a los recursos asociados al grupo de seguridad. Las reglas también controlan el tráfico saliente que puede salir de ellos.

Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como *autorización* o *revocación* del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un origen o destino específicos.

**Topics**
+ [Conceptos básicos de las reglas de los grupos de seguridad](#security-group-rule-characteristics)
+ [Componentes de una regla de grupo de seguridad](#security-group-rule-components)
+ [Referencia a grupos de seguridad](#security-group-referencing)
+ [Tamaño del grupo de seguridad](#security-group-size)
+ [Reglas antiguas de los grupos de seguridad](#vpc-stale-security-group-rules)

## Conceptos básicos de las reglas de los grupos de seguridad
<a name="security-group-rule-characteristics"></a>

A continuación, se describen las características de las reglas de los grupos de seguridad:
+ Puede especificar reglas de permiso, pero no reglas de denegación.
+ Cuando se crea un grupo de seguridad, este carece de reglas de entrada. Por lo tanto, no se permitirá el tráfico de entrada hasta que no agregue reglas de entrada al grupo de seguridad.
+ La primera vez que crea un grupo de seguridad, este tiene una regla de salida que permite todo el tráfico de salida procedente del recurso. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas de entrada, no se permitirá el tráfico de salida.
+ Cuando asocia varios grupos de seguridad a un recurso, las reglas de cada grupo de seguridad se agregan para formar un solo conjunto de reglas utilizadas para determinar si se permite el acceso.
+ Cuando se agregan, actualizan o eliminan reglas, los cambios se aplican automáticamente a todos los recursos asociados al grupo de seguridad. Para obtener instrucciones, consulte [Configuración de reglas de grupos de seguridad](working-with-security-group-rules.md).
+ El efecto de algunos cambios en las reglas puede depender de cómo se realiza el seguimiento del tráfico. Para obtener más información, consulte [Seguimiento de la conexión](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) en la *Guía del usuario de Amazon EC2*.
+ Cuando usted crea una regla de grupo de seguridad, AWS le asigna un ID único. Puede utilizar el ID de una regla cuando utilice la API o la CLI para modificarla o eliminarla.

**Limitación**  
Los grupos de seguridad no pueden bloquear las solicitudes de DNS hacia Route 53 Resolver o desde este, a veces denominado “dirección IP de VPC\$12” (consulte [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) en la *Guía para desarrolladores de Amazon Route 53*) o [AmazonProvidedDNS](DHCPOptionSet.md). Para filtrar las solicitudes de DNS a través de Route 53 Resolver, utilice el [Firewall de DNS de Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).

## Componentes de una regla de grupo de seguridad
<a name="security-group-rule-components"></a>

Los siguientes son componentes de las reglas del grupo de seguridad de entrada y salida:
+ **Protocolo**: el protocolo que se permite. Los protocolos más habituales son 6 (TCP), 17 (UDP) y 1 (ICMP).
+ **Rango de puertos**: para TCP, UDP o un protocolo personalizado, el rango de puertos que se permite. Puede especificar un solo número de puerto (por ejemplo, `22`), o bien un rango de números de puertos (por ejemplo, `7000-8000`).
+ **Tipo y código ICMP**: para ICMP, el tipo y el código ICMP. Por ejemplo, utilice el tipo 8 para la Echo Request de ICMP o el tipo 128 para la Echo Request de ICMPv6. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) en la *Guía del usuario de Amazon EC2*.
+ **Origen o destino**: el origen (reglas de entrada) o el destino (reglas de salida) del tráfico que se va a permitir. Especifique uno de los siguientes valores:
  + Una única dirección IPv4. Debe utilizar la longitud de prefijo `/32`. Por ejemplo, `203.0.113.1/32`. 
  + Una única dirección IPv6. Debe utilizar la longitud de prefijo `/128`. Por ejemplo, `2001:db8:1234:1a00::123/128`.
  + Un rango de direcciones IPv4 en notación de bloque de CIDR. Por ejemplo, `203.0.113.0/24`.
  + Un rango de direcciones IPv6 en notación de bloque de CIDR. Por ejemplo, `2001:db8:1234:1a00::/64`.
  + El ID de una lista de prefijos. Por ejemplo, `pl-1234abc1234abc123`. Para obtener más información, consulte [Listas de prefijos administradas](managed-prefix-lists.md).
  + El ID de un grupo de seguridad. Por ejemplo, `sg-1234567890abcdef0`. Para obtener más información, consulte [Referencia a grupos de seguridad](#security-group-referencing).
+ **(Opcional) Descripción**: puede agregar una descripción a la regla, que puede ayudarlo a identificarla más adelante. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.

Para ver ejemplos, consulte [las reglas de los grupos de seguridad para diferentes casos de uso](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) en la Guía del *usuario de Amazon EC2*.

## Referencia a grupos de seguridad
<a name="security-group-referencing"></a>

Al especificar un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias que están asociadas a los grupos de seguridad. Las instancias se pueden comunicar en la dirección que se determine, mediante las direcciones IP privadas de las instancias, a través del protocolo y el puerto especificados.

Por ejemplo, a continuación, se representa una regla de entrada para un grupo de seguridad que hace referencia al grupo de seguridad sg-0abcdef1234567890. Esta regla permite el tráfico SSH entrante desde las instancias asociadas a sg-0abcdef1234567890.


| Origen | Protocolo | Rango de puerto | 
| --- | --- | --- | 
| sg-0abcdef1234567890 | TCP | 22 | 

Al hacer referencia a un grupo de seguridad en una regla de grupo de seguridad, tenga en cuenta lo siguiente:
+ Puede hacer referencia a un grupo de seguridad en la regla de entrada de otro grupo de seguridad si se cumple alguna de las siguientes condiciones:
  + Los grupos de seguridad están asociados con la misma VPC.
  + Existe una conexión de emparejamiento entre las VPC a las que están asociados los grupos de seguridad.
  + Hay una puerta de enlace de tránsito entre las VPC a las que están asociados los grupos de seguridad.
+ Puede hacer referencia a un grupo de seguridad en la regla de salida si se cumple alguna de las siguientes condiciones:
  + Los grupos de seguridad están asociados con la misma VPC.
  + Existe una conexión de emparejamiento entre las VPC a las que están asociados los grupos de seguridad.
+ No se agrega ninguna regla del grupo de seguridad al que se hace referencia al grupo de seguridad que hace referencia a él.
+ En el caso de las reglas de entrada, las instancias de EC2 asociadas a un grupo de seguridad pueden recibir tráfico entrante desde las direcciones IP privadas de las interfaces de red de las instancias de EC2 asociadas al grupo de seguridad de referencia.
+ En el caso de las reglas de salida, las instancias de EC2 asociadas al grupo de seguridad pueden enviar tráfico saliente a las direcciones IP privadas de las instancias de EC2 asociadas al grupo de seguridad al que se hace referencia.
+ No verificamos los grupos de seguridad a los que se hace referencia para dar autorización en las siguientes acciones: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` y `RevokeSecurityGroupEgress`. Solo comprobamos si el grupo de seguridad existe. Se obtiene el siguiente resultado:
  + Especificar el grupo de seguridad al que se hace referencia en las políticas de IAM para estas acciones no tiene ningún efecto.
  + Cuando un grupo de seguridad al que se hace referencia es propiedad de otra cuenta, la cuenta propietaria no recibe eventos de CloudTrail para estas acciones.

**Limitación**

Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia o al rango CIDR de la subred que contiene la otra instancia como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.

**Ejemplo**

En el siguiente diagrama se muestra una VPC con subredes en dos zonas de disponibilidad, una puerta de enlace de Internet y un equilibrador de carga de aplicación. Cada zona de disponibilidad tiene una subred pública para servidores web y una subred privada para servidores de bases de datos. Hay grupos de seguridad independientes para el equilibrador de carga, los servidores web y los servidores de bases de datos. Cree las siguientes reglas de grupo de seguridad para permitir el tráfico.
+ Agregue reglas al grupo de seguridad del equilibrador de carga para permitir el tráfico HTTP y HTTPS de Internet. El origen es 0.0.0.0/0.
+ Agregue reglas al grupo de seguridad para servidores web para permitir solo el tráfico HTTP y HTTPS del equilibrador de carga. El origen es el grupo de seguridad para el equilibrador de carga.
+ Agregue reglas al grupo de seguridad para servidores de bases de datos para permitir solicitudes de bases de datos de servidores web. El origen es el grupo de seguridad para los servidores web.

![\[Una arquitectura con servidores web y de base de datos, grupos de seguridad, una puerta de enlace de Internet y un equilibrador de carga\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/security-group-referencing.png)


## Tamaño del grupo de seguridad
<a name="security-group-size"></a>

El tipo de origen o destino determina la forma en que cada regla cuenta para el número máximo de reglas que puede tener por grupo de seguridad.
+ Una regla que hace referencia a un bloque de CIDR cuenta como una regla.
+ Una regla que hace referencia a otro grupo de seguridad cuenta como una regla, independientemente del tamaño del grupo de seguridad al que se hace referencia.
+ Una regla que hace referencia a una lista de prefijos administrada por el cliente cuenta como el tamaño máximo de la lista de prefijos. Por ejemplo, si el tamaño máximo de la lista de prefijos es 20, una regla que haga referencia a esta lista de prefijos cuenta como 20 reglas.
+ Una regla que hace referencia a una lista de prefijos administrados por AWS cuenta como el peso de la lista de prefijos. Por ejemplo, si el peso de la lista de prefijos es 10, una regla que haga referencia a esta lista de prefijos cuenta como 10 reglas. Para obtener más información, consulte [Listas de prefijos administradas por AWS disponibles](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).

## Reglas antiguas de los grupos de seguridad
<a name="vpc-stale-security-group-rules"></a>

Si su VPC tiene una conexión de emparejamiento de VPC con otra VPC, o si utiliza una VPC compartida con otra cuenta, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que los recursos asociados al grupo de seguridad al que se hace referencia y los asociados al grupo de seguridad que hace la referencia se comuniquen entre sí. Para obtener más información, consulte [Actualizar los grupos de seguridad para que hagan referencia a grupos de seguridad de VPC del mismo nivel](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) en la *Guía de interconexión de Amazon VPC*.

Si tienes una regla del grupo de seguridad que hace referencia a un grupo de seguridad en una VPC emparejada o compartida y el grupo de seguridad en la VPC compartida o la conexión de emparejamiento de VPC se eliminan, la regla se marca como obsoleta. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad.

# Grupos de seguridad predeterminados para las VPC
<a name="default-security-group"></a>

Las VPC predeterminadas y las VPC que cree incluyen un grupo de seguridad predeterminado. El nombre del grupo de seguridad predeterminado es “default”.

Se recomienda crear grupos de seguridad para recursos o grupos de recursos específicos en lugar de utilizar el grupo de seguridad predeterminado. Sin embargo, si no asocia un grupo de seguridad con algunos recursos en el momento de la creación, los asociamos con el grupo de seguridad predeterminado. Por ejemplo, si no especifica un grupo de seguridad cuando lanza una instancia EC2, asociamos la instancia con el grupo de seguridad predeterminado para su VPC.

## Conceptos básicos de un grupo de seguridad predeterminado
<a name="default-security-group-basics"></a>
+ Puede cambiar las reglas de un grupo de seguridad predeterminado.
+ El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, devolveremos el siguiente código de error: `Client.CannotDelete`.

## Reglas predeterminadas
<a name="default-security-group-default-rules"></a>

En la tabla siguiente se describen las reglas de entrada predeterminadas del grupo de seguridad predeterminado.


| Origen | Protocolo | Rango de puerto | Descripción | 
| --- | --- | --- | --- | 
| sg-1234567890abcdef0  | Todos | Todos | Permite el tráfico entrante de todos los recursos asignados a este grupo de seguridad. El origen es el ID de este grupo de seguridad. | 

En la tabla siguiente se describen las reglas de salida predeterminadas del grupo de seguridad predeterminado.


| Destino | Protocolo | Rango de puerto | Descripción | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | Todos | Todos | Permite todo el tráfico IPv4 saliente. | 
| ::/0 | Todos | Todos | Permite todo el tráfico IPv6 saliente. Esta regla se agrega solo si su VPC tiene un bloque de CIDR IPv6 asociado. | 

## Ejemplo
<a name="default-security-group-example"></a>

En el siguiente diagrama se muestra una VPC con un grupo de seguridad predeterminado, una puerta de enlace de Internet y una puerta de enlace de NAT. La seguridad predeterminada contiene solo sus reglas predeterminadas y está asociada con dos instancias de EC2 que se ejecutan en la VPC. En este escenario, cada instancia puede recibir tráfico entrante de la otra instancia en todos los puertos y protocolos. Las reglas predeterminadas no permiten que las instancias reciban tráfico de la puerta de enlace de Internet ni de la puerta de enlace de NAT. Si las instancias deben recibir tráfico adicional, se recomienda crear un grupo de seguridad con las reglas necesarias y asociar el grupo de seguridad nuevo a las instancias en lugar del grupo de seguridad predeterminado.

![\[Una VPC con dos subredes, un grupo de seguridad predeterminado, dos instancias de EC2, una puerta de enlace de Internet y puerta de enlace NAT\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/default-security-group.png)


# Create a security group for your VPC (Crear un grupo de seguridad para la VPC)
<a name="creating-security-groups"></a>

Tu nube privada virtual (VPC) incluye un grupo de seguridad predeterminado. Puede crear grupos de seguridad adicionales para cada VPC. Los grupos de seguridad solo se pueden utilizar en la VPC para la que se creó.

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga del recurso. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente. Puede añadir reglas al crear un grupo de seguridad o más adelante. Para obtener más información, consulte [Reglas del grupo de seguridad](security-group-rules.md).

**Permisos necesarios**

Antes de comenzar, asegúrese de tener los permisos necesarios. Para obtener más información, consulte los siguientes temas:
+ [Administrar grupos de seguridad](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Administración de reglas de grupos de seguridad](vpc-policy-examples.md#vpc-security-group-rules-iam)

**Para crear un grupo de seguridad con la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Elija **Create Security Group (Creación de grupo de seguridad)**.

1. Ingrese un nombre y una descripción para el grupo de seguridad. No puede cambiar el nombre ni la descripción de un grupo de seguridad después de crearlo.

1. En **VPC**, elija la VPC en la que desea crear los recursos a los que desea asociar el grupo de seguridad.

1. (Opcional) Para añadir reglas de entrada, elija **Reglas de entrada**. Para cada regla, elija **Agregar regla** y especifique el protocolo, el puerto y la fuente. Para obtener más información, consulte [Configuración de reglas de grupos de seguridad](working-with-security-group-rules.md).

1. (Opcional) Para añadir reglas de salida, seleccione **Reglas de salida**. Para cada regla, elija **Agregar regla** y especifique el protocolo, el puerto y el destino.

1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.

1. Elija **Creación de grupo de seguridad**.

**Para crear un grupo de seguridad con AWS CLI**  
Utilice el comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

Alternativamente, puede crear un nuevo grupo de seguridad creando una copia de uno existente. Al copiar un grupo de seguridad, agregamos automáticamente las mismas reglas de entrada y salida que el grupo de seguridad original y usamos la misma VPC que el grupo de seguridad original. Escriba un nombre y una descripción para el nuevo grupo de seguridad. Si lo desea, puede elegir una VPC diferente y modificar las reglas de entrada y salida según sea necesario. Sin embargo, no puede copiar un grupo de seguridad de una región a otra.

**Para crear un grupo de seguridad basado en uno existente**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Seleccione un grupo de seguridad.

1. Seleccione **Acciones** y, a continuación, **Copiar al nuevo grupo de seguridad**.

1. Ingrese un nombre y una descripción para el grupo de seguridad.

1. (Opcional) Elija una VPC diferente si es necesario.

1. (Opcional) Agregue, elimine o edite las reglas del grupo de seguridad según sea necesario.

1. Elija **Creación de grupo de seguridad**.

# Configuración de reglas de grupos de seguridad
<a name="working-with-security-group-rules"></a>

Después de crear un grupo de seguridad, puede agregar, actualizar y eliminar sus reglas de grupo de seguridad. Cuando agrega, actualiza o elimina una regla, esta se aplica automáticamente a todos los recursos asociados al grupo de seguridad.

**Permisos necesarios**  
Antes de comenzar, asegúrese de tener los permisos necesarios. Para obtener más información, consulte [Administración de reglas de grupos de seguridad](vpc-policy-examples.md#vpc-security-group-rules-iam).

**Protocolos y puertos**
+ Con la consola, si selecciona un tipo predefinido, el **Protocolo** y el **Rango de puertos** se especifican automáticamente. Para introducir un rango de puertos, debe seleccionar uno de los siguientes tipos personalizados: **TCP personalizado** o **UDP personalizado**.
+ Con la AWS CLI, puede agregar una sola regla con un solo puerto mediante las opciones `--protocol` y `--port`. Para añadir varias reglas, o una regla con un rango de puertos, utilice la opción `--ip-permissions`.

**Orígenes y destinos**
+ Con la consola, puede especificar lo siguiente como origen de las reglas de entrada o como destino de las reglas de salida:
  + **Personalizado**: un bloque de CIDR de IPv4 y un bloque de CIDR de IPv6, un grupo de seguridad o una lista de prefijos.
  + **Anywhere-IPv4**: el bloque de CIDR IPv4 0.0.0.0/0.
  + **Anywhere-IPv6**: el bloque de CIDR ::/0 IPv6.
  + **Mi IP**: la dirección IPv4 pública de su equipo local.
+ Con la AWS CLI, puede especificar un bloque de CIDR de IPv4 mediante la opción `--cidr` o un grupo de seguridad mediante la opción `--source-group`. Para especificar una lista de prefijos o un bloque de CIDR de IPv6, utilice la opción `--ip-permissions`.

**aviso**  
Si elige **Anywhere-IPv4**, permite el tráfico desde todas las direcciones IPv4. Si elige **Anywhere-IPv6**, permite el tráfico desde todas las direcciones IPv6. Se recomienda autorizar solo los rangos de direcciones IP específicos que necesitan acceso a sus recursos.

**Para añadir reglas a un grupo de seguridad con la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Seleccione el grupo de seguridad.

1. Para editar las reglas de entrada, seleccione **Editar reglas de entrada** en **Acciones** o en la pestaña **Reglas de entrada**.

   1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y la fuente de la regla.

      Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.

   1. Para eliminar una regla, pulse el botón **Eliminar**.

1. Para editar las reglas de salida, selecciona **Editar reglas de salida** en **Acciones** o en la pestaña **Reglas de salida**.

   1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y el destino de la regla. También puede introducir una descripción opcional.

      Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.

   1. Para eliminar una regla, pulse el botón **Eliminar**.

1. Seleccione **Guardar reglas**.

**Para configurar reglas del grupo de seguridad mediante la AWS CLI**
+ **Agregar**: utilice los comandos [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) y [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html).
+ **Eliminar**: utilice los comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) y [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
+ **Modificar**: utilice los comandos [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html), y [update-security-group-rule-descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html).

# Eliminación de un grupo de seguridad
<a name="deleting-security-groups"></a>

Cuando ya no necesite un grupo de seguridad creado, puede eliminarlo.

**Requisitos**
+ El grupo de seguridad no se puede asociar a ningún recurso.
+ Una regla no puede hacer referencia al grupo de seguridad en otro grupo de seguridad.
+ El grupo de seguridad no puede ser el grupo de seguridad predeterminado para una VPC.

**Para eliminar un grupo de seguridad con la consola**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Security Groups** (Grupos de seguridad).

1. Seleccione un grupo de seguridad y elija **Acciones**, **Eliminar grupo de seguridad**.

1. Si ha seleccionado más de un grupo de seguridad, se le solicitará que lo confirme. Si algunos de los grupos de seguridad no se pueden eliminar, mostramos el estado de cada grupo de seguridad, que indica si se eliminará. Para confirmar la eliminación, use **Eliminar**.

1. Elija **Eliminar**.

**Para eliminar un grupo de seguridad mediante la AWS CLI**  
Utilice el comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

# Asociación de grupos de seguridad a varias VPC
<a name="security-group-assoc"></a>

Si tiene cargas de trabajo que se ejecutan en varias VPC que comparten requisitos de seguridad de red, puede utilizar la característica de Asociaciones de VPC a grupos de seguridad para asociar un grupo de seguridad a varias VPC de la misma región. Esto le permite administrar y mantener los grupos de seguridad en un solo lugar para varias VPC de su cuenta.

![\[Diagrama del grupo de seguridad asociado a dos VPC.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


En el diagrama anterior, se muestra la cuenta A de AWS con dos VPC. Cada una de las VPC tiene cargas de trabajo que se ejecutan en una subred privada. En este caso, las cargas de trabajo de las subredes de la VPC A y B comparten los mismos requisitos de tráfico de red, por lo que la cuenta A puede usar la característica de asociación de VPC al grupo de seguridad para asociar el grupo de seguridad de la VPC A con la VPC B. Cualquier actualización realizada en el grupo de seguridad asociado se aplica automáticamente al tráfico de las cargas de trabajo de la subred de la VPC B.

**Requisitos de la característica de Asociación de VPC a grupos de seguridad**
+ Debe ser propietario de la VPC o tener una de las subredes de la VPC compartida con usted para asociar un grupo de seguridad a esta.
+ La VPC y los grupos de seguridad deben estar en la misma región de AWS.
+ No se puede asociar un grupo de seguridad predeterminado con otra VPC ni asociar un grupo de seguridad con una VPC predeterminada.
+ Tanto el propietario del grupo de seguridad como el propietario de la VPC pueden ver las asociaciones de la VPC al grupo de seguridad.

**Servicios que admiten esta característica**
+ Amazon API Gateway (solo API de REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + Equilibrador de carga de aplicación
  + Equilibrador de carga de red

## Asociación de un grupo de seguridad a otra VPC
<a name="assoc-sg"></a>

En esta sección, se explica cómo utilizar Consola de administración de AWS y AWS CLI para asociar un grupo de seguridad a las VPC.

------
#### [ AWS Management Console ]

**Para asociar un grupo de seguridad a otra VPC**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.

1. Elija un grupo de seguridad para ver sus detalles.

1. Elija la pestaña **Asociaciones de VPC**.

1. Elija **Asociar VPC**.

1. En **ID de la VPC**, elija una VPC para asociarla con el grupo de seguridad.

1. Elija **Asociar VPC**.

------
#### [ Command line ]

**Para asociar un grupo de seguridad a otra VPC**

1. Cree una asociación de VPC con [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html).

1. Compruebe el estado de una asociación de VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) y espere a que aparezca el estado `associated`.

------

La VPC ya está asociada al grupo de seguridad.

 Una vez que haya asociado la VPC al grupo de seguridad, puede, por ejemplo, [lanzar una instancia en la VPC y elegir este nuevo grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) o [hacer referencia a este grupo de seguridad en una regla de grupo de seguridad existente](security-group-rules.md#security-group-referencing).

## Disociación de un grupo de seguridad de otra VPC
<a name="disassoc-sg"></a>

En esta sección, se explica cómo usar la Consola de administración de AWS y la AWS CLI para disociar un grupo de seguridad de las VPC. Puede que desee hacerlo si su objetivo es eliminar el grupo de seguridad. Los grupos de seguridad no se pueden eliminar si están asociados. Solo puede disociar un grupo de seguridad si no hay interfaces de red en la VPC asociada que utilice ese grupo de seguridad.

------
#### [ AWS Management Console ]

**Para disociar un grupo de seguridad de una VPC**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.

1. Elija un grupo de seguridad para ver sus detalles.

1. Elija la pestaña **Asociaciones de VPC**.

1. Elija **Disociar VPC**.

1. En **ID de la VPC**, elija una VPC para disociarla del grupo de seguridad.

1. Elija **Disociar VPC**.

1. Consulte el **Estado** de la disociación en la pestaña de asociaciones de la VPC y espere a que aparezca el estado `disassociated`.

------
#### [ Command line ]

**Cómo disociar un grupo de seguridad de una VPC**

1. Disocie una asociación de VPC con [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html).

1. Compruebe el estado de una disociación de la VPC con [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) y espere a que aparezca el estado `disassociated`.

------

La VPC ya se disoció del grupo de seguridad.

# Compartir grupos de seguridad con AWS Organizations
<a name="security-group-sharing"></a>

La característica Grupo de seguridad compartido le permite compartir un grupo de seguridad con otras cuentas de AWS Organizations dentro de la misma región de AWS y hacer que el grupo de seguridad esté disponible para que lo utilicen esas cuentas.

En el siguiente diagrama, se muestra cómo puede utilizar la característica Grupo de seguridad compartido para simplificar la administración de los grupos de seguridad en todas las cuentas de su AWS Organizations:

![\[Diagrama del uso compartido de grupo de seguridad con otras cuentas en una subred de VPC compartida.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/sec-group-sharing.png)


En este diagrama, se muestran tres cuentas que forman parte de la misma organización. La cuenta A comparte una subred de VPC con las cuentas B y C. La cuenta A comparte el grupo de seguridad con las cuentas B y C mediante la característica de Grupos de seguridad compartidos. A continuación, las cuentas B y C utilizan ese grupo de seguridad cuando lanzan instancias en la subred compartida. Esto permite a la cuenta A administrar el grupo de seguridad; cualquier actualización del grupo de seguridad se aplica a los recursos que las cuentas B y C tienen en ejecución en la subred de VPC compartida.

**Requisitos de la característica de Grupos de seguridad compartidos**
+ Esta característica solo está disponible para las cuentas de la misma organización en AWS Organizations. Debe habilitar el [uso compartido de recursos](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) en AWS Organizations.
+ La cuenta que comparte el grupo de seguridad debe ser propietaria tanto de la VPC como del grupo de seguridad. 
+ No puede compartir los grupos de seguridad predeterminados.
+ No puede compartir grupos de seguridad que estén en una VPC predeterminada.
+ Las cuentas participantes pueden crear grupos de seguridad en una VPC compartida, pero no pueden compartir esos grupos de seguridad.
+ Se requiere un conjunto mínimo de permisos para que una entidad principal de IAM comparta un grupo de seguridad con AWS RAM. Use las política de IAM administradas `AmazonEC2FullAccess` y `AWSResourceAccessManagerFullAccess` para garantizar que las entidades principales de IAM dispongan de los permisos necesarios para compartir y utilizar los grupos de seguridad compartidos. Si utiliza una política de IAM personalizada, las acciones `c2:PutResourcePolicy` y `ec2:DeleteResourcePolicy` son obligatorias. Estas son acciones de IAM solo de permiso. Si a una entidad principal de IAM no se le conceden estos permisos, se producirá un error al intentar compartir el grupo de seguridad mediante la AWS RAM.

**Servicios que admiten esta característica**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Equilibrador de carga de aplicación
  + Equilibrador de carga de red

**Cómo afecta esta característica a las cuotas existentes**

Se aplican [cuotas de los grupos de seguridad](amazon-vpc-limits.md#vpc-limits-security-groups). Sin embargo, para la cuota “Grupos de seguridad por interfaz de red”, si un participante utiliza grupos propios y compartidos en una interfaz de red elástica (ENI), se aplica la cuota mínima de propietario y participante.

Ejemplo para demostrar cómo esta característica afecta a la cuota:
+ Cuota de cuentas de propietarios: 4 grupos de seguridad por interfaz
+ Cuota de cuentas de participantes: 5 grupos de seguridad por interfaz.
+ El propietario comparte los grupos SG-O1, SG-O2, SG-O3, SG-O4 y SG-O5 con el participante. El participante ya tiene sus propios grupos en la VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Si el participante crea una ENI y utiliza solo sus propios grupos, puede asociar los 5 grupos de seguridad (SG-P1, SG-P2, SG-P3, SG-P4 y SG-P5), ya que esa es su cuota.
+ Si el participante crea una ENI y utiliza algún grupo compartido en ella, solo podrá asociar hasta 4 grupos. En este caso, la cuota de una ENI de este tipo es la cuota mínima de propietarios y participantes. Las posibles configuraciones válidas tendrán el siguiente aspecto:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Cómo compartir un grupo de seguridad
<a name="share-sg-org"></a>

En esta sección, se explica cómo usar la Consola de administración de AWS y la AWS CLI para compartir un grupo de seguridad con otras cuentas de su organización.

------
#### [ AWS Management Console ]

**Para compartir un grupo de seguridad**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.

1. Elija un grupo de seguridad para ver sus detalles.

1. Elija la pestaña **Sharing (Compartir)** .

1. Elija **Compartir grupo de seguridad**.

1. Elija **Crear recurso compartido**. Como resultado, se abre la consola de AWS RAM, donde se creará el recurso compartido para el grupo de seguridad.

1. Ingrese un **Nombre** para el recurso compartido.

1. En **Recursos (opcional)**, elija **Grupos de seguridad**.

1. Elija un grupo de seguridad. El grupo de seguridad no puede ser un grupo de seguridad predeterminado ni estar asociado a la VPC predeterminada.

1. Elija **Siguiente**.

1. Revise las acciones que las entidades principales podrán realizar y seleccione **Siguiente**.

1. En **Entidades principales (opcional)**, seleccione **Permitir compartir solo dentro de la organización.**

1. En **Entidades principales**, seleccione uno de los siguientes tipos de entidades principales e introduzca los números correspondientes:
   + **Cuenta de AWS**: el número de una cuenta de su organización.
   + **Organización**: el ID de AWS Organizations.
   + **Unidad organizativa (OU)**: el ID de una OU de la organización.
   + **Rol de IAM**: el ARN de un rol de IAM. La cuenta que creó el rol debe ser miembro de la misma organización que la cuenta que creó este recurso compartido.
   + **Usuario de IAM**: el ARN de un usuario de IAM. La cuenta que creó el usuario debe ser miembro de la misma organización que la cuenta que creó este recurso compartido.
   + **Entidad principal del servicio**: no puede compartir un grupo de seguridad con una entidad principal del servicio.

1. Seleccione **Añadir**.

1. Elija **Siguiente**.

1. Elija **Crear recurso compartido**.

1. En **Recursos compartidos**, espere que el **Estado** sea `Associated`. Si se produce un error en la asociación de grupos de seguridad puede deberse a una de las limitaciones que se han indicado anteriormente. Consulte los detalles del grupo de seguridad y la pestaña **Compartir** de la página de detalles para ver cualquier mensaje relacionado con los motivos por los que un grupo de seguridad no se puede compartir.

1. Vuelva a la lista de grupos de seguridad de la consola de la VPC.

1. Elija el grupo de seguridad que compartió.

1. Elija la pestaña **Sharing (Compartir)** . Su recurso de AWS RAM debería aparecer allí. Si no es así, es posible que se haya producido un error al crear el recurso compartido y que tenga que volver a crearlo.

------
#### [ Command line ]

**Para compartir un grupo de seguridad**

1. En primer lugar, debe crear un recurso compartido para el grupo de seguridad que desee compartir con AWS RAM. Consulte [Crear un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) en la *Guía del usuario de AWS RAM* para conocer los pasos para crear un recurso compartido con AWS RAM usando la AWS CLI 

1. Para ver las asociaciones de recursos compartidos creadas, utilice [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

El grupo de seguridad ya está compartido. Puede seleccionar el grupo de seguridad cuando [lanza una instancia de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) en una subred compartida dentro de la misma VPC.

## Detención de la compartición de un grupo de seguridad
<a name="stop-share-sg-org"></a>

En esta sección, se explica cómo utilizar la Consola de administración de AWS y la AWS CLI para dejar de compartir un grupo de seguridad con otras cuentas de la organización.

------
#### [ AWS Management Console ]

**Cómo dejar de compartir un grupo de seguridad**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación izquierdo, elija **Grupos de seguridad**.

1. Elija un grupo de seguridad para ver sus detalles.

1. Elija la pestaña **Sharing (Compartir)** .

1. Elija un recurso compartido de un grupo de seguridad y elija **Dejar de compartir**.

1. Seleccione **Sí, dejar de compartir**.

------
#### [ Command line ]

**Cómo dejar de compartir un grupo de seguridad**

Elimine el recurso compartido con [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

El grupo de seguridad ya no está compartido. Cuando el propietario deja de compartir un grupo de seguridad, se aplican las siguientes reglas: 
+ Las interfaces de red elásticas (ENI) existentes participantes siguen recibiendo las actualizaciones de reglas de los grupos de seguridad que se realicen en los grupos de seguridad no compartidos. Dejar de compartir solo impide que el participante cree nuevas asociaciones con el grupo no compartido.
+ Los participantes ya no pueden asociar el grupo de seguridad no compartido a ninguna ENI de su propiedad.
+ Los participantes pueden describir y eliminar las ENI que siguen asociadas a los grupos de seguridad no compartidos.
+ Si los participantes siguen teniendo ENI asociadas al grupo de seguridad no compartido, el propietario no puede eliminarlo. El propietario solo puede eliminar el grupo de seguridad después de que los participantes disocien (eliminen) el grupo de seguridad de todas sus ENI.
+ Los participantes no pueden lanzar nuevas instancias de EC2 utilizando una ENI asociada a un grupo de seguridad no compartido.