Ho creato o aggiornato una policy IAM e ho ricevuto l'errore "Has prohibited field Principal". Come posso risolvere questo problema?

2 minuti di lettura

Come posso risolvere l'errore “Has prohibited field Principal” con la mia policy di AWS Identity and Access Management (IAM)?

Breve descrizione

L'elemento Principale può essere utilizzato nelle policy basate sulle risorse per controllare l'utente o i ruoli IAM autorizzati ad accedere alla risorsa. Ad esempio, i bucket di Amazon Simple Storage Service (Amazon S3) utilizzano la policy basata sulle risorse denominata policy del bucket per controllare l'accesso a un bucket. Le policy dei bucket utilizzano l'elemento Principale. Le policy IAM collegate direttamente alle identità IAM (utenti, gruppi e ruoli) concedono le autorizzazioni per effettuare chiamate API che non hanno un elemento Principale. Per ulteriori informazioni, consulta Policy basate sull'identità e policy basate sulle risorse.

I ruoli IAM hanno una policy basata sulle risorse che controlla chi è autorizzato ad assumere il ruolo e ricevere credenziali temporanee. I ruoli IAM hanno anche una policy basata sull'identità che controlla quali chiamate API possono effettuare le credenziali di sicurezza temporanee.

Le policy basate sulle risorse sono diverse dalle autorizzazioni a livello di risorsa. Le autorizzazioni a livello di risorsa possono essere utilizzate sia nelle policy basate sulle risorse che nelle policy basate sull'identità. Le autorizzazioni a livello di risorsa utilizzano l'elemento Risorsa per limitare le autorizzazioni alle risorse AWS.

Risoluzione

Assicurati che le policy che utilizzano l'elemento Principale siano create con il servizio AWS associato alla risorsa AWS, non all'interno di IAM. Controlla i servizi AWS che funzionano con IAM per confermare se un servizio AWS utilizza policy basate sulle risorse. Ad esempio, le policy dei bucket di Amazon S3 sono configurate all'interno del servizio S3, non all'interno di IAM. Per istruzioni, consulta Aggiungere una policy di bucket utilizzando la console Amazon S3.

L'unica policy basata sulle risorse esistente all'interno del servizio IAM stesso è la policy di fiducia per i ruoli IAM. Per aggiungere una policy di fiducia a un ruolo IAM, assicurati di modificare la policy di fiducia e non la policy delle autorizzazioni. Per istruzioni, consulta modifica di una policy di fiducia dei ruoli e di una policy di autorizzazioni.

Informazioni correlate

Modifica della relazione di fiducia per un ruolo esistente

Concessione a un utente delle autorizzazioni per cambiare ruolo

Argomenti

Sicurezza, identità e conformità

Tag

AWS Identity and Access Management

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso risolvere l'errore della policy di attendibilità IAM "Impossibile aggiornare la policy di attendibilità. Principale non valido nella policy"?
AWS UFFICIALEAggiornata un anno fa
In che modo è possibile risolvere l'errore "La policy contiene una istruzione con uno o più principali non validi" relativo alla policy delle chiavi AWS KMS?
AWS UFFICIALEAggiornata 2 anni fa
Perché ricevo l'errore "Principale non valido nella policy" quando provo ad aggiornare la mia policy del bucket Amazon S3?
AWS UFFICIALEAggiornata un anno fa
Perché c'è un formato principale sconosciuto nella mia policy basata sulle risorse IAM?
AWS UFFICIALEAggiornata 2 anni fa