Eu criei ou atualizei uma política do IAM e recebi o erro “Possui campo proibido principal”. Como posso resolver isso?

3 minuto de leitura

Como posso resolver o erro “Possui campo proibido principal” com minha política do AWS Identity and Access Management (IAM)?

Breve descrição

O elemento Principal pode ser usado em políticas baseadas em recursos para controlar o usuário ou os perfis do IAM que têm permissão para acessar o recurso. Por exemplo, os buckets do Amazon Simple Storage Service (Amazon S3) usam a política baseada em recursos chamada política de bucket para controlar o acesso a um bucket. As políticas de bucket usam o elemento Principal. As políticas do IAM vinculadas diretamente às identidades do IAM (usuários, grupos e perfis) concedem permissões para fazer chamadas de API que não têm um elemento Principal. Para obter mais informações, consulte Políticas baseadas em identidade e políticas baseadas em recursos.

Os perfis do IAM têm uma política baseada em recursos que controla quem tem permissão para assumir o perfil e receber credenciais temporárias. Os perfis do IAM também têm uma política baseada em identidade que controla quais chamadas de API que as credenciais de segurança temporárias podem fazer.

As políticas baseadas em recursos são diferentes das permissões em nível de recurso. As permissões em nível de recurso podem ser usadas tanto em políticas baseadas em recursos quanto em políticas baseadas em identidade. As permissões em nível de recurso usam o elemento Resource para restringir as permissões aos recursos da AWS.

Resolução

Certifique-se de que as políticas usando o elemento Principal sejam criadas com o serviço da AWS associado ao recurso da AWS, não no IAM. Verifique os serviços da AWS que funcionam com o IAM para confirmar se um serviço da AWS usa políticas baseadas em recursos. Por exemplo, as políticas de bucket do Amazon S3 são configuradas no serviço S3, não no IAM. Para obter instruções, consulte Adicionar uma política de bucket usando o console Amazon S3.

A única política baseada em recursos que existe no próprio serviço IAM é a política de confiança para perfis do IAM. Para adicionar uma política de confiança a um perfil do IAM, verifique se você está editando a política de confiança e não a política de permissões. Para obter instruções, consulte como modificar uma política de confiança de perfil e uma política de permissões.

Informações relacionadas

Editar a relação de confiança para um perfil existente

Conceder permissões a um usuário para trocar de perfil

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como usar curingas com um elemento Principal e uma negação explícita em uma política de bucket do Amazon S3?
AWS OFICIALAtualizada há 6 meses
Por que estou recebendo o erro “Entidade principal inválida na política” quando tento atualizar minha política de bucket do Amazon S3?
AWS OFICIALAtualizada há um ano
Como resolvo a exceção de erro “InvalidViewerCertificate” ao criar ou atualizar uma distribuição do CloudFront?
AWS OFICIALAtualizada há 2 anos
Como posso resolver o erro da política de confiança do IAM “Falha ao atualizar a política de confiança. Entidade principal inválida na política”?
AWS OFICIALAtualizada há um ano