Los roles de IAM tienen una política basada en recursos que controla quién puede asumir el rol y recibir credenciales temporales. Los roles de IAM también tienen una política basada en identidades que controla las llamadas a la API que se pueden realizar con las credenciales de seguridad temporales.
Las políticas basadas en recursos son diferentes de los permisos de los recursos. Los permisos de los recursos se pueden usar tanto en las políticas basadas en recursos como en políticas basadas en identidades. Los permisos de los de recursos utilizan el elemento Resource (Recurso) para restringir los permisos a los recursos de AWS.
Solución
Asegúrese de que las políticas que utilizan el elemento Principal se creen con el servicio de AWS asociado al recurso de AWS, no dentro de IAM. Compruebe si hay servicios de AWS que funcionen con IAM para confirmar si algún servicio de AWS utiliza políticas basadas en recursos. Por ejemplo, las políticas de bucket de Amazon S3 se configuran en el servicio de S3, no en IAM. Consulte las instrucciones en Adición una política de bucket mediante la consola de Amazon S3.
La única política basada en recursos que existe dentro del servicio de IAM propiamente dicho es la política de confianza para roles de IAM. Para añadir una política de confianza a un rol de IAM, asegúrese de editar la política de confianza y no la política de permisos. Consulte las instrucciones en Modificación de una política de confianza de rol y Modificación de una política de permisos de rol.