Les rôles IAM disposent d'une stratégie basée sur les ressources qui contrôle les personnes autorisées à assumer le rôle et à recevoir des informations d'identification temporaires. Les rôles IAM disposent également d'une stratégie basée sur l'identité qui contrôle les appels d'API que les informations d'identification de sécurité temporaires sont autorisées à effectuer.
Les stratégies basées sur les ressources diffèrent des autorisations au niveau des ressources. Les autorisations au niveau des ressources peuvent être utilisées à la fois dans les stratégies basées sur les ressources et les stratégies basées sur l'identité. Les autorisations au niveau des ressources utilisent l'élément Resource (Ressource) pour restreindre les autorisations aux ressources AWS.
Résolution
Assurez-vous que les politiques utilisant l'élément Principal sont créées avec le service AWS associé à la ressource AWS, et non dans IAM. Recherchez les services AWS qui fonctionnent avec IAM pour confirmer qu’un service AWS utilise bien des politiques basées sur les ressources. Par exemple, les politiques de compartiment Amazon S3 sont configurées dans le service S3, et non dans IAM. Pour obtenir des instructions, consultez Ajout d'une politique de compartiment à l'aide de la console Amazon S3.
La seule politique basée sur les ressources qui existe dans le service IAM lui-même est la politique d'approbation pour les rôles IAM. Pour ajouter une stratégie d'approbation à un rôle IAM, veillez à modifier la stratégie d'approbation et non pas la stratégie d'autorisations. Pour obtenir les instructions, reportez-vous à modification d'une stratégie d'approbation de rôle et d'une stratégie d'autorisations.