As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Anexos da Amazon VPC no Transit Gateway AWS
Um anexo Amazon Virtual Private Cloud (VPC) a um gateway de trânsito permite rotear o tráfego de e para uma ou mais sub-redes VPC. Quando uma VPC é anexada a um gateway de trânsito, é necessário especificar uma sub-rede de cada zona de disponibilidade a ser usada pelo gateway de trânsito para rotear o tráfego. As sub-redes especificadas servem como pontos de entrada e saída para o tráfego do gateway de trânsito. O tráfego só pode alcançar recursos em outras sub-redes dentro da mesma zona de disponibilidade se as sub-redes do anexo do gateway de trânsito tiverem rotas apropriadas configuradas em suas tabelas de rotas apontando para as sub-redes de destino.
**Limites**
+ Quando uma VPC é anexada a um gateway de trânsito, nenhum recurso nas zonas de disponibilidade em que não houver um anexo do gateway de trânsito alcançará este gateway de trânsito.
**nota**
Nas zonas de disponibilidade que têm anexos do gateway de trânsito, o tráfego só é encaminhado para o gateway de trânsito a partir das sub-redes específicas associadas ao anexo. Se houver uma rota para o gateway de trânsito em uma tabela de rotas de sub-rede, o tráfego será enviado ao gateway de trânsito somente quando este tiver um anexo em uma sub-rede na mesma zona de disponibilidade e o anexo da tabela de rotas da sub-rede contiver rotas apropriadas para o destino pretendido do tráfego dentro da VPC.
+ Um gateway de trânsito não oferece suporte à resolução de DNS para nomes DNS personalizados da VPCs configuração anexada usando zonas hospedadas privadas no Amazon Route 53. Para configurar a resolução de nomes para zonas hospedadas privadas para todas VPCs conectadas a um gateway de trânsito, consulte [Gerenciamento centralizado de DNS da nuvem híbrida com o Amazon Route 53 e o AWS Transit](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/) Gateway.
+ Um gateway de trânsito não oferece suporte ao roteamento entre VPCs idênticos CIDRs, ou se um CIDR em um intervalo se sobrepõe a um CIDR em uma VPC conectada. Se uma VPC for anexada a um gateway de trânsito e seu CIDR for idêntico ao CIDR de outra VPC, ou se sobrepor ao CIDR de outra VPC, que já esteja anexada ao gateway de trânsito, as rotas para a VPC recém-anexada não serão propagadas para a tabela de rotas do gateway de trânsito.
+ Não é possível criar um anexo para uma sub-rede da VPC que resida em uma zona local. Porém, é possível configurar a rede para que as sub-redes na Zona Local se conectem a um gateway de trânsito por meio da Zona de Disponibilidade principal. Para obter mais informações, consulte [Conectar sub-redes da Zona Local a um gateway de trânsito](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ Você não pode criar um anexo de gateway de trânsito usando IPv6 sub-redes somente. As sub-redes de anexos do Transit Gateway também devem oferecer suporte IPv4 a endereços.
+ Um gateway de trânsito deve ter pelo menos um anexo de VPC antes que esse gateway de trânsito possa ser adicionado a uma tabela de rotas.
## Requisitos de tabela de rotas para anexos de VPC
Os anexos da VPC do Transit Gateway exigem configurações específicas da tabela de rotas para funcionarem adequadamente:
+ **Tabelas de rotas de sub-redes de anexos**: as sub-redes associadas ao anexo do gateway de trânsito devem ter entradas na tabela de rotas para qualquer destino dentro da VPC que precise ser acessado por meio do gateway de trânsito. Isso inclui rotas para outras sub-redes, gateways da Internet, gateways NAT e endpoints da VPC.
+ **Tabelas de rotas de sub-rede de destino: as** sub-redes que contêm recursos que precisam se comunicar por meio do gateway de trânsito devem ter rotas apontando de volta para o gateway de trânsito para retornar o tráfego aos destinos externos.
+ **Tráfego local da VPC**: o anexo do gateway de trânsito não habilita automaticamente a comunicação entre sub-redes dentro da mesma VPC. As regras padrão de roteamento da VPC se aplicam, e a rota local (CIDR da VPC) deve estar presente nas tabelas de rotas para comunicação intra-VPC.
**nota**
Ter rotas configuradas em sub-redes sem anexos dentro da mesma zona de disponibilidade não permite o fluxo de tráfego. Somente as sub-redes específicas associadas ao anexo do gateway de trânsito podem servir como entry/exit pontos para o tráfego do gateway de trânsito.
## Ciclo de vida do anexo da VPC
Um anexo da VPC passa por vários estágios, começando quando a solicitação é iniciada. Em cada etapa, pode haver ações possíveis, e, ao final do ciclo de vida, o anexo da VPC permanece visível no Amazon Virtual Private Cloud Console e na API ou na saída de linha de comando por um período.
O diagrama a seguir mostra os estados pelos quais um anexo pode passar em uma única configuração de conta ou em uma configuração para várias contas que tenha a opção **Aceitar automaticamente os anexos compartilhados** ativada.
![\[Ciclo de vida do anexo da VPC\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pendente**: uma solicitação de anexo da VPC foi iniciada e está no processo de provisionamento. Nesta fase, o anexo pode falhar, ou pode ir para `available`.
+ **Falhando**: uma solicitação de anexo da VPC está mostrando falhas. Nesta fase, o anexo da VPC vai para `failed`.
+ **Falha**: a solicitação de anexo da VPC falhou. Enquanto estiver neste estado, ela não pode ser excluída. O anexo da VPC com falha permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Disponível**: o anexo da VPC está disponível e o tráfego pode fluir entre a VPC e o gateway de trânsito. Nesta fase, o anexo pode ir para `modifying`, ou para `deleting`.
+ **Excluindo**: um anexo da VPC que está em processo de ser excluído. Nesta fase, o anexo pode ir para `deleted`.
+ **Excluído**: um anexo da VPC `available` foi excluído. Enquanto estiver nesse estado, o anexo da VPC não pode ser modificado. O anexo da VPC permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Modificando**: foi feita uma solicitação para modificar as propriedades do anexo da VPC. Nesta fase, o anexo pode ir para `available`, ou para `rolling back`.
+ **Revertendo**: a solicitação de modificação do anexo da VPC não pode ser concluída e o sistema está desfazendo todas as alterações feitas. Nesta fase, o anexo pode ir para `available`.
O diagrama a seguir mostra os estados pelos quais um anexo pode passar em uma configuração de várias contas que tenha a opção **Aceitar automaticamente os anexos compartilhados** desativada.
![\[Ciclo de vida dos anexos da VPC entre contas que estão com a opção Aceitar automaticamente os anexo compartilhados desativada\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Aceitação pendente**: a solicitação de anexo da VPC está aguardando aceitação. Nesta fase, o anexo pode ir para `pending`, para `rejecting` ou para `deleting`.
+ **Rejeitando**: um anexo da VPC que está em processo de ser rejeitado. Nesta fase, o anexo pode ir para `rejected`.
+ **Rejeitado**: um anexo da VPC `pending acceptance` foi rejeitado. Enquanto estiver nesse estado, o anexo da VPC não pode ser modificado. O anexo da VPC permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Pendente**: um anexo da VPC foi aceito e está no processo de provisionamento. Nesta fase, o anexo pode falhar, ou pode ir para `available`.
+ **Falhando**: uma solicitação de anexo da VPC está mostrando falhas. Nesta fase, o anexo da VPC vai para `failed`.
+ **Falha**: a solicitação de anexo da VPC falhou. Enquanto estiver neste estado, ela não pode ser excluída. O anexo da VPC com falha permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Disponível**: o anexo da VPC está disponível e o tráfego pode fluir entre a VPC e o gateway de trânsito. Nesta fase, o anexo pode ir para `modifying`, ou para `deleting`.
+ **Excluindo**: um anexo da VPC que está em processo de ser excluído. Nesta fase, o anexo pode ir para `deleted`.
+ **Excluída**: um anexo da VPC `available` ou `pending acceptance` foi excluído. Enquanto estiver nesse estado, o anexo da VPC não pode ser modificado. O anexo da VPC permanece visível por 2 horas e, em seguida, não será mais visível.
+ **Modificando**: foi feita uma solicitação para modificar as propriedades do anexo da VPC. Nesta fase, o anexo pode ir para `available`, ou para `rolling back`.
+ **Revertendo**: a solicitação de modificação do anexo da VPC não pode ser concluída e o sistema está desfazendo todas as alterações feitas. Nesta fase, o anexo pode ir para `available`.
## Modo do dispositivo
Se há planos para configurar um dispositivo de rede com estado na VPC, é possível habilitar o suporte ao modo de dispositivo para o anexo da VPC no qual o dispositivo está localizado ao criar um anexo. Isso garante que o AWS Transit Gateway use a mesma zona de disponibilidade para esse anexo de VPC durante toda a vida útil do fluxo de tráfego entre a origem e o destino. Também permite que um gateway de trânsito envie tráfego para qualquer zona de disponibilidade na VPC, desde que haja uma associação de sub-rede nessa zona. Embora o modo dispositivo seja suportado apenas em anexos VPC, o fluxo de rede pode vir de qualquer outro tipo de anexo do gateway de trânsito, incluindo anexos VPC, VPN e Connect. O modo dispositivo também funciona para fluxos de rede que têm origens e destinos diferentes Regiões da AWS. Os fluxos de rede podem ser potencialmente rebalanceados em diferentes zonas de disponibilidade se você não ativar inicialmente o modo de dispositivo, mas depois editar a configuração do anexo para habilitá-lo. Você pode habilitar ou desabilitar o modo de dispositivo usando o console, a linha de comando ou a API.
O modo de dispositivo no AWS Transit Gateway otimiza o roteamento de tráfego considerando as zonas de disponibilidade de origem e destino ao determinar o caminho por meio de uma VPC no modo de dispositivo. Essa abordagem aumenta a eficiência e reduz a latência. O comportamento varia dependendo da configuração e dos padrões de tráfego específicos. Estes são cenários de exemplo:
### Cenário 1: roteamento de tráfego de zona intra-disponibilidade via Appliance VPC
Quando o tráfego flui da zona de disponibilidade us-east-1a de destino para a zona de disponibilidade us-east-1a, com anexos da VPC do modo de dispositivo em us-east-1a e us-east-1b, o Transit Gateway seleciona uma interface de rede de us-east-1a dentro da VPC do dispositivo. Essa zona de disponibilidade é mantida por toda a duração do fluxo de tráfego entre a origem e o destino.
### Cenário 2: roteamento de tráfego de zona intra-disponibilidade via Appliance VPC
Para o tráfego flui da zona de disponibilidade us-east-1a de destino para a zona de disponibilidade us-east-1b, com anexos da VPC do modo de dispositivo em us-east-1a e us-east-1b, o Transit Gateway seleciona uma interface de rede de us-east-1a ou us-east-1b dentro da VPC do dispositivo. A zona de disponibilidade escolhida é usada de forma consistente durante a vida útil do fluxo.
### Cenário 3: roteamento de tráfego por meio de uma VPC de dispositivo sem dados da zona de disponibilidade
Quando o tráfego se origina da zona de disponibilidade de origem us-east-1a para um destino sem informações de zona de disponibilidade (por exemplo, tráfego com destino à internet), com anexos VPC no modo dispositivo em us-east-1a e us-east-1b, o Gateway de Trânsito seleciona uma interface de rede de us-east-1a dentro da VPC do dispositivo.
### Cenário 4: roteamento de tráfego por meio de uma VPC de dispositivo em uma zona de disponibilidade distinta da origem ou do destino
Quando o tráfego flui da Zona de Disponibilidade de origem us-east-1a para a zona de disponibilidade de destino us-east-1b, com anexos VPC no modo dispositivo em diferentes zonas de disponibilidade, por exemplo, us-east-1c e us-east-1d, o Transit Gateway usa um algoritmo de hash de fluxo para selecionar us-east-1c ou us-east-1d na VPC do dispositivo. A zona de disponibilidade escolhida é usada de forma consistente durante a vida útil do fluxo.
**nota**
O modo dispositivo só é compatível com anexos de VPC. Certifique-se de que a propagação de rotas esteja habilitada para uma tabela de rotas associada a um anexo VPC do appliance.
## Referenciamento de grupo de segurança
Você pode usar esse recurso para simplificar o gerenciamento de grupos de segurança e o controle do instance-to-instance tráfego entre VPCs aqueles conectados ao mesmo gateway de trânsito. Só é possível fazer referência cruzada a grupos de segurança em regras de entrada. As regras de segurança de saída não são compatíveis com o referenciamento de grupos de segurança. Não há custos adicionais associados à ativação ou ao uso da referenciamento de grupos de segurança.
O suporte de referência do grupo de segurança pode ser configurado tanto para gateways de trânsito quanto para anexos do VPC do gateway de trânsito e só funcionará se tiver sido habilitado tanto para um gateway de trânsito quanto para seus anexos de VPC.
### Limitações
As limitações a seguir se aplicam ao utilizar a referência ao grupo de segurança com um anexo do VPC.
+ A referência ao grupo de segurança não oferece suporte para as conexões de emparelhamento do Transit Gateway. Ambos VPCs devem estar conectados ao mesmo gateway de trânsito.
+ Não há suporte para a referência de grupos de segurança para anexos da VPC na zona de disponibilidade use1-az3.
+ A referência a grupos de segurança não é suportada para PrivateLink endpoints. Recomendamos o uso de regras de segurança baseadas em IP CIDR como alternativa.
+ A referência do grupo de segurança funciona para o Elastic File System (EFS), desde que uma regra de grupo de segurança de permissão para todas as saídas esteja configurada para as interfaces EFS na VPC.
+ Para conectividade de Zona Local por meio de um gateway de trânsito, há suporte apenas para as seguintes Zonas Locais: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a e us-west-2-phx-2a.
+ Recomendamos desativar esse recurso no nível de anexo da VPC VPCs para sub-redes em Zonas Locais, AWS Outposts e Zonas de AWS Wavelength sem suporte, pois isso pode causar interrupção do serviço.
+ Se você tiver uma VPC de inspeção, a referência ao grupo de segurança por meio do gateway de trânsito não funcionará no Gateway Load AWS Balancer ou no Network Firewall. AWS
**Topics**
+ [Requisitos de tabela de rotas para anexos de VPC](#vpc-attachment-routing-requirements)
+ [Ciclo de vida do anexo da VPC](#vpc-attachment-lifecycle)
+ [Modo do dispositivo](#tgw-appliancemode)
+ [Referenciamento de grupo de segurança](#vpc-attachment-security)
+ [Criar um anexo de VPC](create-vpc-attachment.md)
+ [Modificar um anexo de VPC](modify-vpc-attachment.md)
+ [Modificar as tags de anexo da VPC](modify-vpc-attachment-tag.md)
+ [Visualizar um anexo da VPC](view-vpc-attachment.md)
+ [Excluir um anexo de VPC](delete-vpc-attachment.md)
+ [Regras de entrada do grupo de segurança](tgw-sg-updates-update.md)
+ [Identificar grupos de segurança referenciados](tgw-sg-updates-identify.md)
+ [Remover regras de grupo de segurança obsoletas](tgw-sg-updates-stale.md)
+ [Solucionar problemas de anexos da VPC](transit-gateway-vpc-attach-troubleshooting.md)
# Criar um anexo de VPC no AWS Transit Gateway
**Como criar um anexo de VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
1. Em **Tag de nome**. Como opção, insira um nome para o anexo do gateway de trânsito.
1. Em **Transit Gateway ID** (ID do gateway de trânsito), escolha o gateway de trânsito para o anexo. Você pode escolher um gateway de trânsito de sua propriedade ou um que tenha sido compartilhado com você.
1. Em **Attachment type (Tipo de anexo)**, escolha **VPC**.
1. Escolha se quer habilitar o **Suporte a DNS**, o **Suporte a IPv6** e o **Suporte ao modo de dispositivo**.
Se o modo de dispositivo for escolhido, o fluxo de tráfego entre uma origem e um destino usará a mesma zona de disponibilidade para o anexo da VPC durante o tempo de vida desse fluxo.
1. Escolha se deseja ativar o **suporte de referência de grupos de segurança**. Ative esse atributo para referenciar um grupo de segurança entre VPCs conectadas a um gateway de trânsito. Para obter mais informações sobre referência ao grupo de segurança, consulte: [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
1. Escolha se quer habilitar o **Suporte a IPv6**.
1. Em **ID da VPC**, escolha a VPC a ser anexada ao gateway de trânsito.
Essa VPC precisa estar associada a pelo menos uma sub-rede.
1. Em **IDs de sub-rede**, selecione uma sub-rede para cada zona de disponibilidade a ser usada pelo gateway de trânsito para rotear o tráfego. É necessário selecionar pelo menos uma sub-rede. É possível selecionar somente uma sub-rede por zona de disponibilidade.
1. Escolha **Create transit gateway attachment** (Criar anexo do gateway de trânsito).
**Como criar uma VPC usando a AWS CLI**
Use o comando [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).
# Modificar um anexo de VPC no Transit AWS Gateway
**Como modificar seus anexos de VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Escolha o anexo da VPC e selecione **Ações**, **Modificar anexo do gateway de trânsito**.
1. Ative ou desative qualquer uma das seguintes opções:
+ **Suporte a DNS**
+ **IPv6 apoio**
+ **Suporte ao modo de dispositivo**
1. Para adicionar ou remover uma sub-rede do anexo, selecione ou desmarque a caixa de seleção ao lado da **ID da sub-rede** que você deseja adicionar ou remover.
**nota**
Adicionar ou modificar uma sub-rede de anexos de VPC pode afetar o tráfego de dados enquanto o anexo estiver sendo modificado.
1. Para poder referenciar um grupo de segurança VPCs conectado a um gateway de trânsito, selecione **Suporte de referência de grupos de segurança**. Para obter mais informações sobre referência ao grupo de segurança, consulte: [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
**nota**
Se você desativar a referência de grupos de segurança para um gateway de trânsito existente, ela será desativada em todos os anexos da VPC.
1. Selecione **Modificar anexo do gateway de trânsito**.
**Para modificar seus anexos de VPC usando o AWS CLI**
Use o comando [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).
# Modificar as tags de anexo da VPC no AWS Transit Gateway
**Como modificar as tags de anexo da VPC usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Selecione o anexo da VPC e então, **Ações**, **Gerenciar tags**.
1. [Adicionar uma tag] Selecione **Adicionar nova tag** e faça o seguinte:
+ Em **Chave**, insira o nome da chave.
+ Em **Valor** insira o valor da chave.
1. [Remover uma tag] Ao lado da tag, selecione **Remover**.
1. Selecione **Salvar**.
As tags de anexo da VPC só podem ser modificadas usando o console.
# Visualizar um anexo do VPC no AWS Transit Gateway
**Como visualizar seus anexos da VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Anexos do gateway de trânsito**.
1. Na coluna **Tipo de recurso**, procure por **VPC**. Os anexos da VPC serão exibidos.
1. Escolha um anexo para visualizar seus detalhes.
**Como visualizar seus anexos da VPC usando a AWS CLI**
Use o comando [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).
# Excluir um anexo VPC no AWS Transit Gateway
**Como excluir um anexo de VPC usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit Gateway Attachments (Anexos do gateway de trânsito)**.
1. Escolha o anexo de VPC.
1. Selecione **Ações**, **Excluir anexo do gateway de trânsito**.
1. Quando solicitado, digite **delete** e escolha **Excluir**.
**Como excluir um anexo de VPC usando a AWS CLI**
Use o comando [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).
# Atualizar as regras de entrada do grupo de segurança AWS Transit Gateway
É possível atualizar qualquer uma das regras de entrada do grupo de segurança associadas a um gateway de trânsito. É possível atualizar regras do grupo de segurança usando o console do Amazon VPC, a linha de comando ou a API. Para obter mais informações sobre referência ao grupo de segurança, consulte: [Referenciamento de grupo de segurança](tgw-vpc-attachments.md#vpc-attachment-security).
**Atualizar as regras do grupo de segurança usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Escolha o grupo de segurança e selecione **Ações**, **Editar regras de entrada** para modificar as regras de entrada.
1. Para adicionar uma regra, selecione **Adicionar regra** e especifique o tipo, protocolo e intervalo de porta. Em **Origem** (regra de entrada), insira o ID do grupo de segurança na VPC conectada ao gateway de trânsito.
**nota**
Os grupos de segurança em uma VPC conectada ao gateway de trânsito não são exibidos automaticamente.
1. Para editar uma regra existente, altere seus valores (por exemplo, a origem ou a descrição).
1. Para excluir uma regra, selecione **Excluir**, próximo à regra.
1. Selecione **Salvar rules**.
**Como atualizar regras de entrada usando a linha de comando**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# Identificar grupos de segurança AWS Transit Gateway referenciados
Para determinar se o grupo de segurança está sendo referenciado nas regras de um grupo de segurança em uma VPC conectada ao mesmo gateway de trânsito, use um dos comandos a seguir.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# Remover regras de grupo de segurança do AWS Transit Gateway obsoletas
Uma regra de grupo de segurança obsoleta é uma regra que referencia um grupo de segurança excluído na mesma VPC ou na VPC anexada ao mesmo gateway de trânsito. Quando uma regra de grupo de segurança se torna obsoleta, ela não é automaticamente removida do grupo de segurança, portanto, é preciso removê-la manualmente.
É possível visualizar e excluir as regras de grupo de segurança obsoletas para uma VPC usando o console da Amazon VPC.
**Como visualizar e excluir regras do grupo de segurança obsoletas**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Selecione **Ações**, **Gerenciar regras obsoletas**.
1. Em **VPC**, escolha a VPC com as regras obsoletas.
1. Selecione **Editar**.
1. Selecione o botão **Excluir** ao lado da regra que deseja excluir. Selecione **Visualizar alterações**, **Salvar regras**.
**Como descrever as regras desatualizadas do seu grupo de segurança usando a linha de comando**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Depois de identificar as regras de grupo de segurança obsoletas, é possível excluí-las usando os comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) ou [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
# Solução de problemas na criação de anexos de VPC do AWS Transit Gateway
O tópico a seguir pode ajudar a solucionar problemas que possam surgir quando ao criar um anexo da VPC.
**Problema**
Falha no anexo da VPC.
**Causa**
A causa pode ser uma das seguintes:
1. O usuário que estiver criando o anexo da VPC não tem as permissões corretas para criar o perfil vinculada ao serviço.
1. Há um problema de controle de utilização devido a muitas solicitações do IAM. Por exemplo, o CloudFormation está sendo usado para criar permissões e perfis.
1. A conta tem o perfil vinculado a serviços e esse perfil foi modificado.
1. O gateway de trânsito não está no estado `available`.
**Solução**
Dependendo da causa, tente o seguinte:
1. Verifique se o usuário tem as permissões corretas para criar perfis vinculados a serviços. Para obter mais informações, consulte [Permissões de perfis vinculados a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*. Uma vez que o usuário tenha as permissões, crie o anexo da VPC.
1. Crie o anexo do VPC manualmente. Para obter mais informações, consulte [Criar um anexo de VPC no AWS Transit Gateway](create-vpc-attachment.md).
1. Verifique se a função vinculada a serviços tem as permissões corretas. Para obter mais informações, consulte [Função vinculada ao serviço do gateway de trânsito](service-linked-roles.md#tgw-service-linked-roles).
1. Verifique se o gateway de trânsito está no estado `available`. Para obter mais informações, consulte [Visualizar informações do gateway de trânsito no AWS Transit Gateway](view-tgws.md).