Ich habe eine IAM-Richtlinie erstellt oder aktualisiert und die Fehlermeldung „Hat das FeldPrincipal verboten“ erhalten. Wie kann ich das lösen?

Lesedauer: 2 Minute

Wie kann ich den Fehler „Hat ein unerlaubtes Feld Principal“ in meiner AWS-Richtlinie für Identity and Access Management (IAM) beheben?

Kurzbeschreibung

Das Principal-Element kann in ressourcenbasierten Richtlinien verwendet werden, um den IAM-Benutzer oder die IAM-Rollen zu steuern, die auf die Ressource zugreifen dürfen. Amazon Simple Storage Service (Amazon S3) -Buckets verwenden beispielsweise die ressourcenbasierte Richtlinie mit dem Namen Bucket-Richtlinie, um den Zugriff auf einen Bucket zu steuern. Bucket-Richtlinien verwenden das Principal-Element. IAM-Richtlinien, die direkt an IAM-Identitäten (Benutzer, Gruppen und Rollen) angehängt sind, gewähren Berechtigungen für API-Aufrufe, die kein Principal-Element enthalten. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien.

Für IAM-Rollen gilt eine ressourcenbasierte Richtlinie, die festlegt, wer die Rolle übernehmen und temporäre Anmeldeinformationen erhalten darf. Für IAM-Rollen gibt es außerdem eine identitätsbasierte Richtlinie, die steuert, welche API-Aufrufe die temporären Sicherheitsanmeldeinformationen ausführen dürfen.

Ressourcenbasierte Richtlinien unterscheiden sich von Berechtigungen auf Ressourcenebene. Berechtigungen auf Ressourcenebene können sowohl in ressourcenbasierten Richtlinien als auch in identitätsbasierten Richtlinien verwendet werden. Berechtigungen auf Ressourcenebene verwenden das Ressourcen-Element, um die Berechtigungen für AWS-Ressourcen einzuschränken.

Lösung

Stellen Sie sicher, dass Richtlinien, die das Principal-Element verwenden, mit dem AWS-Service erstellt werden, der mit der AWS-Ressource verknüpft ist, und nicht innerhalb von IAM. Suchen Sie nach AWS-Services, die mit IAM zusammenarbeiten, um zu überprüfen, ob ein AWS-Service ressourcenbasierte Richtlinien verwendet. Amazon S3-Bucket-Richtlinien werden beispielsweise innerhalb des S3-Dienstes konfiguriert, nicht innerhalb von IAM. Anweisungen finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3-Konsole.

Die einzige ressourcenbasierte Richtlinie, die innerhalb des IAM-Dienstes selbst existiert, ist die Vertrauensrichtlinie für IAM-Rollen. Um einer IAM-Rolle eine Vertrauensrichtlinie hinzuzufügen, stellen Sie sicher, dass Sie die Vertrauensrichtlinie und nicht die Berechtigungsrichtlinie bearbeiten. Anweisungen finden Sie unter Ändern einer Rollenvertrauensrichtlinie und einer Berechtigungsrichtlinie.

Relevanter Inhalt

Warum erhalte ich die Fehlermeldung Zugriff verweigert, wenn ich die URL zu einem Amazon S3-Objekt öffne, auf das ich Zugriff habe?
AWS OFFICIALAktualisiert vor 3 Jahren
Warum folgt CloudFront nicht einem Cache-Verhalten, das ich erstellt habe?
AWS OFFICIALAktualisiert vor 9 Monaten
Warum reagieren das Startmenü, der Action Center oder die Cortana-Suche nicht, nachdem ich meinen Windows 10-WorkSpace neu erstellt habe?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum existiert das neue Amazon-EBS-Volume nicht, das ich aus einem verschlüsselten Snapshot erstellt habe?
AWS OFFICIALAktualisiert vor 8 Monaten

Ich habe eine IAM-Richtlinie erstellt oder aktualisiert und die Fehlermeldung „Hat das FeldPrincipal verboten“ erhalten. Wie kann ich das lösen?

Kurzbeschreibung

Lösung

Ähnliche Informationen

Relevanter Inhalt