解决方法
----------

如果您的[基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)包含一个[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)元素，该元素具有特定 [IAM 实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)的 [Amazon 资源名称 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)，则该 ARN 在保存后会更改为唯一的主体 ID。这个唯一的主体 ID 对 IAM 用户的前缀为 AIDA，对 IAM 角色的前缀为 AROA。

保存基于资源的策略之前的示例格式：

```plaintext
"arn:aws:iam::123456789012:user/user-name"
"arn:aws:iam::123456789012:role/role-name"
```

保存基于资源的策略后的示例格式：

```plaintext
"AIDAJQABLZS4A3QDU576Q"
"AROAKSCDLFT9R5DQP782U"
```

基于资源的策略中的唯一主体 ID 表明 IAM 用户或角色已被删除。出现主体 ID 是因为 AWS 无法将其映射回有效的 ARN。

要解决此问题，您必须删除主体 ID 或将其替换为有效的主体 ARN。保存策略后，ARN 将更改为用户或角色的新唯一 ID。

有关更多信息，请参阅 [ IAM 角色主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-roles)。

相关信息
-------------------

[如何使用 IAM 允许用户访问资源？](https://repost.aws/zh-Hans/knowledge-center/iam-intro)

[如何使用 AWS IAM 访问其他 AWS 账户中的资源？](https://repost.aws/zh-Hans/knowledge-center/cross-account-access-iam)

[如何解决 IAM 信任策略错误“Failed to update trust policy.Invalid principal in policy”（更新信任策略失败。策略中的主体无效）？](https://repost.aws/zh-Hans/knowledge-center/iam-trust-policy-error)

我尝试编辑我的基于 AWS Identity and Access Management (IAM) 资源的策略，但它有一个未知的主体和随机字符。

为什么我的基于 IAM 资源的策略中有未知的主体格式？

Security, Identity, & Compliance

通过自定义终止策略，让AWS自动伸缩组（ASG）始终终止最旧的实例

如何对 AWS Secrets Manager 密钥应用基于资源的策略？

如何解决 IAM 信任策略错误“Failed to update trust policy.Invalid principal in policy”（无法更新信任策略。策略中的主体无效）？

我为 AWS 资源添加了标签，但是我的 IAM 策略不起作用。哪些 AWS 服务支持基于授权的标签？

在我没有更改任何 IAM 策略的情况下为资源添加标签后，为什么我的 CloudFormation 堆栈操作会失败？

AWS STS GetFederationToken + 基于资源的策略

IAM角信任策略是不是基于资源的策略？

如何使用EC2 IAM角色主体与自动扩展在SecretsManager资源策略中共同使用。

如何在IAM角色的信任策略中指定只能适用于单个实例？

只允许一个SSO用户访问资源的策略

为什么我的基于 IAM 资源的策略中有未知的主体格式？

解决方法

相关信息

相关内容