# Compartilhar grupos de segurança com o AWS Organizations
O recurso grupo de segurança compartilhado possibilita compartilhar um grupo de segurança com outras contas do AWS Organizations na mesma região da AWS, tornando o grupo de segurança disponível para ser usado por essas contas.
O diagrama a seguir demonstra como você pode usar o atributo Grupo de Segurança Compartilhado para simplificar o gerenciamento de grupos de segurança entre as contas do AWS Organizations:
![\[Um diagrama do compartilhamento de grupo de segurança com outras contas em uma sub-rede da VPC compartilhada.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/sec-group-sharing.png)
Este diagrama mostra três contas que fazem parte da mesma organização. A conta A compartilha uma sub-rede da VPC com as contas B e C. A conta A compartilha o grupo de segurança com as contas B e C usando o atributo Grupo de Segurança Compartilhado. As contas B e C então usam esse grupo de segurança quando iniciam instâncias na sub-rede compartilhada. Isso permite que a conta A gerencie o grupo de segurança, e todas as atualizações do grupo de segurança se aplicam aos recursos que as contas B e C têm em execução na sub-rede da VPC compartilhada.
**Requisitos do atributo Grupo de Segurança Compartilhado**
+ Esse atributo só está disponível em contas na mesma organização do AWS Organizations. O [Compartilhamento de recurso](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) deve estar habilitado no AWS Organizations.
+ A conta que compartilha o grupo de segurança deve ser a proprietária da VPC e do grupo de segurança.
+ Você não pode compartilhar os grupos de segurança padrão.
+ Você não pode compartilhar grupos de segurança que estejam em uma VPC padrão.
+ As contas participantes podem criar grupos de segurança em uma VPC compartilhada, mas não podem compartilhar esses grupos de segurança.
+ É necessário um conjunto mínimo de permissões para uma entidade principal do IAM compartilhar um grupo de segurança com o AWS RAM. Use as políticas gerenciadas do IAM `AmazonEC2FullAccess` e `AWSResourceAccessManagerFullAccess` para garantir que as entidades superiores do IAM tenham as permissões necessárias para compartilhar e usar os grupos de segurança compartilhados. Se você usar uma política personalizada do IAM, as ações `c2:PutResourcePolicy` e `ec2:DeleteResourcePolicy` serão são necessárias. Essas são ações do IAM realizadas somente com permissão. Se uma entidade principal do IAM não tiver essas permissões, ocorrerá um erro quando ela tentar compartilhar o grupo de segurança usando o AWS RAM.
**Serviços compatíveis com esse atributo**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**Como esse atributo afeta as cotas existentes**
[Cotas de grupo de segurança](amazon-vpc-limits.md#vpc-limits-security-groups) se aplicam. No entanto, para a cota “Grupos de segurança por interface de rede”, se um participante usar tanto grupos próprios quanto grupos compartilhados em uma interface de rede elástica (ENI), a cota mínima entre o proprietário e o participante será aplicada.
Exemplo para demonstrar como a cota é afetada por esse atributo:
+ Cota da conta do proprietário: 4 grupos de segurança por interface
+ Cota da conta do participante: 5 grupos de segurança por interface.
+ O proprietário compartilha os grupos SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 com o participante. O participante já tem seus próprios grupos na VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Se o participante criar uma ENI e usar somente apenas seus próprios grupos, poderá associar todos os 5 grupos de segurança (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) porque essa é sua cota.
+ Se o participante criar uma ENI e usar nela algum grupo compartilhado, poderá associar até 4 grupos. Nesse caso, a cota para essa ENI será o mínimo das cotas do proprietário e do participante. As possíveis configurações válidas serão assim:
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Compartilhar um grupo de segurança
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para compartilhar um grupo de segurança com outras contas da organização.
------
#### [ AWS Management Console ]
**Para compartilhar um grupo de segurança**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Sharing (Compartilhamento)**.
1. Escolha **Grupo de segurança compartilhado**.
1. Escolha **Criar compartilhamento de recursos**. Como resultado, o console do AWS RAM será aberto, e nele você criará o compartilhamento de recurso para o grupo de segurança.
1. Insira um **Nome** para o recurso compartilhado.
1. Em **Recursos: opcional**, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança. O grupo de segurança não pode ser um grupo de segurança padrão e não pode estar associado à VPC padrão.
1. Escolha **Próximo**.
1. Revise as ações que as entidades principais terão permissão de realizar e escolha **Avançar**.
1. Em **Entidades principais: opcional**, escolha **Permitir compartilhamento apenas dentro da organização**.
1. Em **Entidades principais**, selecione um dos seguintes tipos de entidade principal e insira os números apropriados:
+ **Conta da AWS**: o número de uma conta da organização.
+ **Organização**: o ID do AWS Organizations.
+ **Unidade organizacional (UO)**: o ID de uma UO da organização.
+ **Perfil do IAM**: o ARN de um perfil do IAM. A conta que criou o perfil deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.
+ **Usuário do IAM**: o ARN de um usuário do IAM. A conta que criou o usuário deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.
+ **Entidade principal do serviço**: você não pode compartilhar um grupo de segurança com uma entidade principal do serviço.
1. Escolha **Adicionar**.
1. Escolha **Próximo**.
1. Escolha **Criar compartilhamento de recursos**.
1. Em **Recursos compartilhados**, aguarde para ver o **Status** de `Associated`. Se houver uma falha na associação do grupo de segurança, a causa talvez seja uma das limitações listadas acima. Visualize os detalhes do grupo de segurança e a guia **Compartilhamento** na página de detalhes para ver todas as mensagens relacionadas motivo pelo qual um grupo de segurança pode não ser compartilhável.
1. Volte à lista de grupos de segurança no console da VPC.
1. Escolha o grupo de segurança que você compartilhou.
1. Escolha a guia **Sharing (Compartilhamento)**. O recurso do AWS RAM deve estar visível ali. Se não estiver, talvez a criação do recurso compartilhado tenha falhado e seja necessário recriá-la.
------
#### [ Command line ]
**Para compartilhar um grupo de segurança**
1. Você primeiro deve criar um compartilhamento de recurso para o grupo de segurança que deseja compartilhar com o AWS RAM. Para ver as etapas de como criar um recurso compartilhado com o AWS RAM usando a AWS CLI, consulte [Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *AWS RAM User Guide*
1. Para visualizar as associações de compartilhamento de recurso criadas, use [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
O grupo de segurança agora está compartilhado. É possível selecionar o grupo de segurança ao [iniciar uma instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) em uma sub-rede compartilhada na mesma VPC.
## Parar de compartilhar um grupo de segurança
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para parar de compartilhar um grupo de segurança com outras contas da organização.
------
#### [ AWS Management Console ]
**Para parar de compartilhar um grupo de segurança**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Sharing (Compartilhamento)**.
1. Escolha um compartilhamento de recurso do grupo de segurança e depois **Parar de compartilhar**.
1. Escolha **Sim, parar de compartilhar**.
------
#### [ Command line ]
**Para parar de compartilhar um grupo de segurança**
Exclua o compartilhamento de recurso com [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
O grupo de segurança não está mais sendo compartilhado. Quando o proprietário deixa de compartilhar um grupo de segurança, as seguintes regras se aplicam:
+ As Elastic Network Interfaces (ENIs) de participantes existentes continuam a receber todas as atualizações de regra de grupo de segurança feitas nos grupos de segurança não compartilhados. O cancelamento do compartilhamento só impede que o participante crie novas associações com o grupo não compartilhado.
+ Os participantes não podem mais associar o grupo de segurança não compartilhado a suas próprias ENIs.
+ Os participantes podem descrever e excluir as ENIs que ainda estão associadas aos grupos de segurança não compartilhados.
+ Se os participantes ainda tiverem ENIs associadas ao grupo de segurança não compartilhado, o proprietário não poderá excluir o grupo de segurança não compartilhado. O proprietário só poderá excluir o grupo de segurança depois que os participantes desassociarem (removerem) o grupo de segurança de todas as suas ENIs.
+ Os participantes não podem iniciar novas instâncias do EC2 usando uma ENI associada a um grupo de segurança não compartilhado.