Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Como resolvo o erro da política de confiança do IAM “Falha ao atualizar a política de confiança. Entidade principal inválida na política”?

6 minuto de leitura

Tentei editar a política de confiança do meu usuário ou perfil de identidade do AWS Identity and Access Management (AWS IAM) e recebi o seguinte erro: “Falha ao atualizar a política de confiança. Entidade principal inválida na política.”

Breve descrição

Essa mensagem de erro indica que o valor de um elemento Entidade principal na sua política de confiança do IAM não é válido. Para resolver esse erro, confirme o seguinte:

Sua política de confiança de perfil do IAM usa valores compatíveis com o formato correto para o elemento Entidade principal.
Se a política de confiança de perfil do IAM usar usuários ou perfis do IAM como entidades principais, confirme se o usuário ou o perfil não foi excluído.

Observação: Se a conta padrão da AWS tentar adicionar o número da conta da AWS GovCloud (EUA), as contas da AWS GovCloud (EUA) também poderão receber esse erro. Você não pode criar um perfil para delegar acesso entre uma conta da AWS GovCloud (EUA) e uma conta padrão da AWS. Para obter mais informações, consulte Como o IAM difere para a AWS GovCloud (EUA).

Resolução

Verificar os valores suportados para o elemento Entidade principal

O elemento Entidade principal na política de confiança do IAM de seu perfil deve incluir os valores aceitos a seguir.

Certifique-se de que a política do IAM inclua a ID correta da conta da AWS de 12 dígitos, semelhante à seguinte:
```
"Principal":
{"AWS": "123456789012"
}
```
Observação: Você também pode usar o usuário-raiz nome do Amazon Resource Name (ARN) para especificar a conta da AWS. Por exemplo, arn:aws:iam::123456789012:root.

Se as entidades principais da política de confiança do IAM forem usuários do IAM, perfis ou federados, todo o ARN deverá ser especificado de forma semelhante à seguinte:

"Principal":
{  "AWS": [
    "arn:aws:iam::123456789012:user/user-name",
    "arn:aws:iam::123456789012:role/role-name",
    "arn:aws:sts::123456789012:assumed-role/role-name/role-session-name",
    "arn:aws:sts::123456789012:federated-user/user-name"
  ]
}

Se a política de confiança do IAM incluir um curinga, siga estas diretrizes.
Observação: Você não pode usar um curinga “*” para corresponder a parte de um nome de Entidade principal ou ARN. O exemplo a seguir mostra um uso incorreto de um curinga em uma política de confiança do IAM:
```
"Principal":
{  "AWS": "arn:aws:iam::123456789012:user/user-*"
}
```
Para combinar parte do nome de uma Entidade principal usando um curinga, use um elemento Condição com a chave de condição global aws:PrincipalArn. Em seguida, especifique um ARN com o curinga. Para especificar identidades de todas as contas da AWS, use um caractere curinga semelhante ao seguinte:
```
"Principal": {
  "AWS": "*"
}
```
Importante: Você pode usar um curinga no elemento Entidade principal com um efeito Permitir em uma política de confiança. No entanto, isso permite que qualquer usuário do IAM, sessão de perfil assumido ou usuário federado em qualquer conta da AWS na mesma partição acesse seu perfil. As entidades principais de usuário e perfil do IAM em sua conta da AWS não exigem nenhuma outra permissão. Entidades principais em outras contas da AWS devem ter permissões baseadas em identidade para assumir seu perfil do IAM. Esse método não permite que entidades principais de sessão de identidade da Web, entidades principais de sessão SAML ou entidades principais de serviço acessem seus recursos. É uma prática recomendada usar esse método somente com o elemento Condição e uma chave de condição, como aws:PrincipalArn, para limitar as permissões. O exemplo de política de confiança a seguir usa a chave de condição aws:PrincipalArn para permitir que somente usuários com nomes de usuário correspondentes assumam o perfil do IAM:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:user/user-*"
        }
      }
    }
  ]
}
```
Se seu perfil do IAM for um perfil de serviço da AWS, toda a entidade principal do serviço deverá ser especificada de forma semelhante à seguinte:
```
"Principal": {
  "Service": "ec2.amazonaws.com"
}
```

Você pode usar as Entidades principais de sessão SAML com um provedor de identidade SAML externo para autenticar usuários do IAM. A política de confiança do perfil do IAM deve ter um elemento Entidade principal semelhante ao seguinte:

"Principal": {
  "Federated": "arn:aws:iam::123456789012:saml-provider/provider-name"
}

Você pode usar as entidades principais de sessão de identidade da web para autenticar usuários do IAM. A política de confiança do perfil do IAM que fornece acesso deve ter uma Entidade principal semelhante ao seguinte:
```
"Principal": {
   "Federated": "cognito-identity.amazonaws.com"
}
```

Se você usar tipos de entidade principal diferentes em uma única declaração, formate a política de confiança do IAM de forma semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/user-name",
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Verifique se a política de confiança não contém prefixos AIDA ou AROA

Se sua política de confiança contiver um elemento Entidade principal com um ARN para entidades do IAM, o ARN será alterado para uma ID de entidade principal exclusiva quando for salvo. Essa ID de Entidade principal exclusiva tem o prefixo AIDA para usuários do IAM e AROA para perfis do IAM semelhantes ao seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "AIDAW4GTDFISYQEXAMPLE",
          "AROAW4GTDFISYQEXAMPLE"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
    }
  ]
}

A ID da entidade principal exclusiva em uma política de confiança indica que o usuário ou o perfil do IAM foi excluído. A ID da entidade principal aparece porque a AWS não pode mapeá-la de volta para um ARN válido. Se você editar a política de confiança, deverá remover a ID da entidade principal ou substituí-la por um ARN de entidade principal válido. O ARN muda para a nova ID exclusiva do usuário ou do perfil depois que você salva a política.

Para obter mais informações, consulte Por que há um formato de entidade principal desconhecido em minha política baseada em recursos do IAM?

Informações relacionadas

Como uso o IAM para permitir o acesso do usuário aos recursos?

Como faço para acessar recursos em outra conta da AWS usando o AWS IAM?

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Log de erro no Histórico do CloudWatch, porém funcionado o invoke da Lambda, envio de SNS, alerta de alarme no CloudWatch
Resposta aceita
Jovando
feita há 3 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há um mês
Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há 2 meses
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há um mês
Não consigo me logar pela conta principal
Lince Web
feita há 3 meses
Como resolvo o erro “Has prohibited field Principal” que recebo quando crio ou atualizo uma política do IAM?
AWS OFICIALAtualizada há 3 meses
Por que há um formato de entidade principal desconhecido em minha política baseada em recursos do IAM?
AWS OFICIALAtualizada há 7 meses
Como resolvo o erro “A função [role_arn] é inválida ou não pode ser assumida” ao atualizar ou excluir uma pilha do AWS CloudFormation?
AWS OFICIALAtualizada há 3 anos
Como resolvo o erro que recebo quando uso o AWS CloudFormation para criar uma chave do AWS KMS?
AWS OFICIALAtualizada há 6 meses