Ho creato o aggiornato una policy IAM e ho ricevuto l'errore "Has prohibited field Principal". Come posso risolvere questo problema?
2 minuti di lettura
0
Come posso risolvere l'errore “Has prohibited field Principal” con la mia policy di AWS Identity and Access Management (IAM)?
Breve descrizione
L'elemento Principale può essere utilizzato nelle policy basate sulle risorse per controllare l'utente o i ruoli IAM autorizzati ad accedere alla risorsa. Ad esempio, i bucket di Amazon Simple Storage Service (Amazon S3) utilizzano la policy basata sulle risorse denominata policy del bucket per controllare l'accesso a un bucket. Le policy dei bucket utilizzano l'elemento Principale. Le policy IAM collegate direttamente alle identità IAM (utenti, gruppi e ruoli) concedono le autorizzazioni per effettuare chiamate API che non hanno un elemento Principale. Per ulteriori informazioni, consulta Policy basate sull'identità e policy basate sulle risorse.
I ruoli IAM hanno una policy basata sulle risorse che controlla chi è autorizzato ad assumere il ruolo e ricevere credenziali temporanee. I ruoli IAM hanno anche una policy basata sull'identità che controlla quali chiamate API possono effettuare le credenziali di sicurezza temporanee.
Le policy basate sulle risorse sono diverse dalle autorizzazioni a livello di risorsa. Le autorizzazioni a livello di risorsa possono essere utilizzate sia nelle policy basate sulle risorse che nelle policy basate sull'identità. Le autorizzazioni a livello di risorsa utilizzano l'elemento Risorsa per limitare le autorizzazioni alle risorse AWS.
Risoluzione
Assicurati che le policy che utilizzano l'elemento Principale siano create con il servizio AWS associato alla risorsa AWS, non all'interno di IAM. Controlla i servizi AWS che funzionano con IAM per confermare se un servizio AWS utilizza policy basate sulle risorse. Ad esempio, le policy dei bucket di Amazon S3 sono configurate all'interno del servizio S3, non all'interno di IAM. Per istruzioni, consulta Aggiungere una policy di bucket utilizzando la console Amazon S3.
L'unica policy basata sulle risorse esistente all'interno del servizio IAM stesso è la policy di fiducia per i ruoli IAM. Per aggiungere una policy di fiducia a un ruolo IAM, assicurati di modificare la policy di fiducia e non la policy delle autorizzazioni. Per istruzioni, consulta modifica di una policy di fiducia dei ruoli e di una policy di autorizzazioni.