Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Ich habe eine IAM-Richtlinie erstellt oder aktualisiert und die Fehlermeldung „Hat das FeldPrincipal verboten“ erhalten. Wie kann ich das lösen?

Lesedauer: 2 Minute
0

Wie kann ich den Fehler „Hat ein unerlaubtes Feld Principal“ in meiner AWS-Richtlinie für Identity and Access Management (IAM) beheben?

Kurzbeschreibung

Das Principal-Element kann in ressourcenbasierten Richtlinien verwendet werden, um den IAM-Benutzer oder die IAM-Rollen zu steuern, die auf die Ressource zugreifen dürfen. Amazon Simple Storage Service (Amazon S3) -Buckets verwenden beispielsweise die ressourcenbasierte Richtlinie mit dem Namen Bucket-Richtlinie, um den Zugriff auf einen Bucket zu steuern. Bucket-Richtlinien verwenden das Principal-Element. IAM-Richtlinien, die direkt an IAM-Identitäten (Benutzer, Gruppen und Rollen) angehängt sind, gewähren Berechtigungen für API-Aufrufe, die kein Principal-Element enthalten. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Für IAM-Rollen gilt eine ressourcenbasierte Richtlinie, die festlegt, wer die Rolle übernehmen und temporäre Anmeldeinformationen erhalten darf. Für IAM-Rollen gibt es außerdem eine identitätsbasierte Richtlinie, die steuert, welche API-Aufrufe die temporären Sicherheitsanmeldeinformationen ausführen dürfen.

Ressourcenbasierte Richtlinien unterscheiden sich von Berechtigungen auf Ressourcenebene. Berechtigungen auf Ressourcenebene können sowohl in ressourcenbasierten Richtlinien als auch in identitätsbasierten Richtlinien verwendet werden. Berechtigungen auf Ressourcenebene verwenden das Ressourcen-Element, um die Berechtigungen für AWS-Ressourcen einzuschränken.

Lösung

Stellen Sie sicher, dass Richtlinien, die das Principal-Element verwenden, mit dem AWS-Service erstellt werden, der mit der AWS-Ressource verknüpft ist, und nicht innerhalb von IAM. Suchen Sie nach AWS-Services, die mit IAM zusammenarbeiten, um zu überprüfen, ob ein AWS-Service ressourcenbasierte Richtlinien verwendet. Amazon S3-Bucket-Richtlinien werden beispielsweise innerhalb des S3-Dienstes konfiguriert, nicht innerhalb von IAM. Anweisungen finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3-Konsole.

Die einzige ressourcenbasierte Richtlinie, die innerhalb des IAM-Dienstes selbst existiert, ist die Vertrauensrichtlinie für IAM-Rollen. Um einer IAM-Rolle eine Vertrauensrichtlinie hinzuzufügen, stellen Sie sicher, dass Sie die Vertrauensrichtlinie und nicht die Berechtigungsrichtlinie bearbeiten. Anweisungen finden Sie unter Ändern einer Rollenvertrauensrichtlinie und einer Berechtigungsrichtlinie.


Ähnliche Informationen

Bearbeitung der Vertrauensbeziehung für eine bestehende Rolle

Einem Benutzer Berechtigungen zum Rollenwechsel gewähren

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren