# Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível
<a name="vpc-peering-security-groups"></a>

Você pode atualizar as regras de entrada e saída dos grupos de segurança da VPC para referenciar grupos de segurança para VPCs emparelhadas. Fazendo isso, você permite que o tráfego flua entre as instâncias associadas com o grupo de segurança referenciado na VPC emparelhada.

**nota**  
Os grupos de segurança em uma VPC de emparelhamento não estão exibidos no console para serem selecionados.

**Requisitos**
+ Para referenciar um security group em uma VPC de mesmo nível, a conexão de emparelhamento precisa estar no estado `active`.
+ A VPC emparelhada pode ser uma VPC na sua conta ou uma VPC em outra conta da AWS. Para fazer referência a um grupo de segurança que está em outra conta da AWS, mas na mesma região, inclua o número da conta com a ID do grupo de segurança. Por exemplo, `123456789012/sg-1a2b3c4d`.
+ Não é possível referenciar o grupo de segurança de uma VPC de emparelhamento que esteja em uma região diferente. Em vez disso, use o bloco CIDR da VPC de emparelhamento.
+ Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.

**Atualizar as regras do grupo de segurança usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, selecione **Security groups** (Grupos de segurança).

1. Selecione o grupo de segurança e siga um destes procedimentos:
   + Para modificar as regras de entrada, escolha **Ações**, **Editar regras de entrada**.
   + Para modificar as regras de saída, escolha **Ações**, **Editar regras de saída**.

1. Para adicionar uma regra, selecione **Adicionar regra** e especifique o tipo, protocolo e intervalo de porta. Para **Origem** (regra de entrada) ou **Destino** (regra de saída), siga um destes procedimentos:
   + Para uma VPC de emparelhamento na mesma conta e região, insira o ID do grupo de segurança.
   + Para uma VPC de emparelhamento em uma conta diferente, mas na mesma região, insira o ID da conta e o ID do grupo de segurança, separados por uma barra (por exemplo, `123456789012/sg-1a2b3c4d`).
   + Para uma VPC de emparelhamento em uma região diferente, insira o bloco CIDR da VPC de emparelhamento.

1. Para editar uma regra existente, altere seus valores (por exemplo, a origem ou a descrição).

1. Para excluir uma regra, selecione **Excluir**, próximo à regra.

1. Selecione **Salvar rules**.

**Como atualizar regras de entrada usando a linha de comando**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) e [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) e [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)

Por exemplo, para atualizar o grupo de segurança `sg-aaaa1111` para permitir acesso de entrada por HTTP de `sg-bbbb2222` que está em uma VPC de emparelhamento, use o comando a seguir. Se a VPC de emparelhamento estiver na mesma região, mas em uma conta diferente, adicione `--group-owner` *aws-account-id*.

```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```

**Para atualizar regras de saída usando a linha de comando**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) e [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) e [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)

Depois de atualizar as regras do grupo de segurança, use o comando [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html), para visualizar o grupo de segurança mencionado nas suas regras de grupo de segurança. 

## Identificar seus grupos de segurança referenciados
<a name="vpc-peering-referenced-groups"></a>

Para determinar se o security group está sendo referenciado nas regras de um security group em uma VPC de mesmo nível, use um dos comandos a seguir para um ou mais security groups da sua conta.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

No seguinte exemplo, a resposta indica que o security group `sg-bbbb2222` está sendo referenciado por um security group na VPC `vpc-aaaaaaaa`:

```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```

```
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}
```

Se a conexão de emparelhamento da VPC for excluída ou se o proprietário da VPC de mesmo nível excluir o security group de referência, a regra do security group ficará obsoleta. 

## Visualizar e excluir com regras de grupo de segurança obsoletas
<a name="vpc-peering-stale-groups"></a>

Uma regra de grupo de segurança obsoleta é uma regra que referencia um grupo de segurança excluído na mesma VPC ou em em no par de uma VPC, ou que referencia um grupo de segurança em que a conexão de emparelhamento da VPC foi excluída. Quando uma regra de grupo de segurança se torna obsoleta, ela não é automaticamente removida do seu grupo de segurança; é necessário removê-la manualmente. Se uma regra de grupo de segurança estiver obsoleta porque a conexão de emparelhamento da VPC foi excluída, ela não será mais marcada como obsoleta se você criar uma nova conexão de emparelhamento de VPC com as mesmas VPCs.

É possível visualizar e excluir as regras de grupo de segurança obsoletas para uma VPC usando o console da Amazon VPC.

**Como visualizar e excluir regras do grupo de segurança obsoletas**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, selecione **Security groups** (Grupos de segurança).

1. Selecione **Ações**, **Gerenciar regras obsoletas**.

1. Em **VPC**, escolha a VPC com as regras obsoletas.

1. Selecione **Editar**.

1. Selecione o botão **Excluir** ao lado da regra que deseja excluir. Selecione **Visualizar alterações**, **Salvar regras**.

**Como descrever as regras desatualizadas do seu grupo de segurança usando a linha de comando**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

No exemplo a seguir, a VPC A `(vpc-aaaaaaaa`) e a VPC B foram emparelhadas e a conexão de emparelhamento de VPC foi excluída. Seu security group `sg-aaaa1111` na VPC A referencia `sg-bbbb2222` na VPC B. Quando você executar o comando `describe-stale-security-groups` para a sua VPC, a resposta indicará que o security group `sg-aaaa1111` possui uma regra SSH obsoleta que referencia `sg-bbbb2222`.

```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```

```
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}
```

Depois de identificar as regras de grupo de segurança obsoleto, você pode excluí-las usando os comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) ou [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).