Por que estou recebendo o erro “Entidade principal inválida na política” quando tento atualizar minha política de bucket do Amazon S3?

4 minuto de leitura

Estou tentando adicionar ou editar a política de bucket do meu bucket do Amazon Simple Storage Service (Amazon S3) usando o console. No entanto, estou recebendo a mensagem de erro “Erro: Entidade principal inválida na política”.

Resolução

Você recebe a mensagemErro: Entidade principal inválida na política quando o valor de uma Entidade principal em sua política de bucket não é válido. Para resolver esse erro, verifique o seguinte:

Sua política de bucket usa valores compatíveis para um elemento Entidade principal.
O elemento Entidade principal está formatado corretamente.
Se a Entidade principal for um usuário ou perfil do AWS Identity and Access Management (IAM), confirme se o usuário ou perfil não foram excluídos.

Sua política de bucket usa valores compatíveis para um elemento Entidade principal

Analise os elementos Entidade principal da sua política de bucket. Verifique se eles estão usando um desses valores compatíveis:

O ARN de um usuário ou perfil do IAM
Observação: para encontrar o ARN de um usuário do IAM, execute o comando get-user da AWS Command Line Interface (AWS CLI). Para encontrar o ARN de um perfil do IAM, execute o comando get-role da AWS CLI. Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.
Uma ID de conta da AWS ou Entidades principais de serviços da AWS
A string "*" para representar todos os usuários

Aviso: quando usado com “Ação:” “Permitir”, o elemento Entidade principal**"*"** concede acesso a todos os usuários, tanto autenticados quanto anônimos. Antes de usar essa combinação em sua política de bucket, confirme se seu conteúdo é compatível com esse nível de acesso.

O valor Entidade principal está formatado corretamente

Examine os elementos Entidade principal da política e verifique se eles estão formatados corretamente. Se a Entidade principal incluir um usuário, o elemento deverá estar neste formato:

"Principal": {
    "AWS": "arn:aws:iam::111111111111:user/user-name1"
}

Ao especificar usuários em um elemento Entidade principal, você não pode usar “*” para indicar todos os usuários. Você deve incluir usuários específicos para o elemento Entidade principal.

Se o elemento Entidade principal incluir mais de um usuário ou perfil do IAM, o elemento deverá estar no seguinte formato:

"Principal": {
  "AWS": [
    "arn:aws:iam::111111111111:user/user-name1",
    "arn:aws:iam::111111111111:role/role-name1"
  ]
}

Se a Entidade principal forem todos os usuários, o elemento deverá estar no seguinte formato:

{
  "Principal": "*"
}

A prática recomendada é não usar um curinga (*) no elemento Entidade principal de uma política baseada em recursos com um efeito de Permitir. Use o curinga somente se você pretende conceder acesso público ou anônimo. Especifique as entidades principais, serviços ou contas da AWS pretendidos no elemento Entidade principal. Em seguida, use o elemento Condição para restringir o acesso. Isso é especialmente verdadeiro para as políticas de confiança de perfil do IAM, pois essas políticas permitem que outras entidades principais se tornem uma entidade principal na sua conta.

O usuário ou perfil do IAM não foi excluído

Se sua política de bucket incluir usuários ou perfis do IAM no elemento Entidade principal, confirme se essas identidades do IAM não foram excluídas. Certifique-se de especificar os identificadores exclusivos em vez dos ARNs completos no elemento Entidade principal. Isso pode ajudar a identificar os usuários e perfis do IAM excluídos na política de bucket atual.

Exemplo:

"Principal": {
  "AWS": [
    "arn:aws:iam::111111111111:user/user-name1",
    "AIDAJQABLZS4A3QDU576Q",
    "arn:aws:iam::111111111111:user/user-name2"
  ]
}

Se você tentar salvar a política de bucket com um identificador exclusivo como elemento Entidade principal, obterá o erro Entidade principal inválida na política. Isso ocorre porque o elemento Entidade principal oferece suporte somente a ARNs do IAM válidos. Para resolver esse erro, você deve remover qualquer identificador exclusivo do elemento Entidade principal.

A conta da entidade principal do IAM não tem uma região da AWS ativada

Se seu bucket do S3 estiver em uma região da AWS que não está ativada por padrão, confirme se a conta da entidade principal do IAM tem a região ativada. Para mais informações, consulte Gerenciar regiões da AWS.

Informações relacionadas

AWS Policy Generator

Elementos da política JSON da AWS: Entidade principal

Tópicos

Armazenamento

Vídeos relacionados

Assista ao vídeo de Chih-Hui para saber mais (3:23)

AWS OFICIALAtualizada há um ano

Conteúdo relevante

Como posso resolver o erro de política de chave do AWS KMS “Policy contains a statement with one or more invalid principals” (A política contém uma declaração com uma ou mais entidades principais inválidas)?
AWS OFICIALAtualizada há 2 anos
Como posso resolver o erro da política de confiança do IAM “Falha ao atualizar a política de confiança. Entidade principal inválida na política”?
AWS OFICIALAtualizada há um ano
Eu criei ou atualizei uma política do IAM e recebi o erro “Possui campo proibido principal”. Como posso resolver isso?
AWS OFICIALAtualizada há 2 anos
Por que há um formato de entidade principal desconhecido na minha política baseada em recursos do IAM?
AWS OFICIALAtualizada há 2 anos