He creado o actualizado una política de IAM, pero se muestra el error «Has prohibited field Principal». ¿Cómo puedo solucionar este problema?

3 minutos de lectura
0

¿Cómo puedo solucionar el error «Has prohibited field Principal» con mi política de AWS Identity and Access Management (IAM)?

Breve descripción

El elemento Principal (Entidad principal) se puede utilizar en políticas basadas en recursos para controlar los roles o el usuario de IAM con permiso para acceder al recurso. Por ejemplo, los buckets de Amazon Simple Storage Service (Amazon S3) utilizan la política basada en recursos denominada política de bucket para controlar el acceso a un bucket. Las políticas de bucket utilizan el elemento Principal. Las políticas de IAM asociadas directamente a identidades de IAM (usuarios, grupos y roles) conceden permisos para realizar llamadas a la API sin un elemento Principal. Para obtener más información, consulte Políticas basadas en identidad y políticas basadas en recursos.

Los roles de IAM tienen una política basada en recursos que controla quién puede asumir el rol y recibir credenciales temporales. Los roles de IAM también tienen una política basada en identidades que controla las llamadas a la API que se pueden realizar con las credenciales de seguridad temporales.

Las políticas basadas en recursos son diferentes de los permisos de los recursos. Los permisos de los recursos se pueden usar tanto en las políticas basadas en recursos como en políticas basadas en identidades. Los permisos de los de recursos utilizan el elemento Resource (Recurso) para restringir los permisos a los recursos de AWS.

Solución

Asegúrese de que las políticas que utilizan el elemento Principal se creen con el servicio de AWS asociado al recurso de AWS, no dentro de IAM. Compruebe si hay servicios de AWS que funcionen con IAM para confirmar si algún servicio de AWS utiliza políticas basadas en recursos. Por ejemplo, las políticas de bucket de Amazon S3 se configuran en el servicio de S3, no en IAM. Consulte las instrucciones en Adición una política de bucket mediante la consola de Amazon S3.

La única política basada en recursos que existe dentro del servicio de IAM propiamente dicho es la política de confianza para roles de IAM. Para añadir una política de confianza a un rol de IAM, asegúrese de editar la política de confianza y no la política de permisos. Consulte las instrucciones en Modificación de una política de confianza de rol y Modificación de una política de permisos de rol.


Información relacionada

Editing the trust relationship for an existing role

Concesión de permisos de usuario para cambiar de rol

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años