解決方法
----------

如果您的 IAM 身分識別型政策包含[主體元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)，那麼您會收到「具有禁止欄位主體」錯誤。您只能在資源型政策中使用**主體**元素來控制允許存取資源的 IAM 身分識別。您不需要在身分識別型政策中使用**主體**元素，因為您將該政策附加到 IAM 身分識別。

請確定您已在與資源相關聯的 AWS 服務中建立資源型政策。若要檢查 AWS 服務是否使用資源型政策，請參閱[使用 IAM 的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#all_svcs)。

在 IAM 中，您能[為角色建立的唯一資源型政策是信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。若要新增或移除 IAM 角色的權限，請務必[更新角色信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)，而不是權限政策。

角色信任政策範例：

```plaintext
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

權限政策範例：

```plaintext
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::111122223333/Test"
  }
}
```

相關資訊
-------------------

[身分識別型政策和資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)

[如何使用 IAM 存取另一個 AWS 帳戶中的資源？](https://repost.aws/zh-Hant/knowledge-center/cross-account-access-iam)

[授予使用者切換角色的權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)

我想解決在建立或更新 AWS Identity and Access Management (IAM) 政策時，收到的「具有禁止欄位主體」錯誤。

解決 IAM 政策錯誤「具有禁止欄位主體」

如何解決建立或更新 IAM 政策時，收到的「具有禁止欄位主體」錯誤？

安全性、身分識別與合規

使用自动化工作流 SAW 诊断 AWS 环境中的常见问题

如何解決建立或更新 IAM 政策時，收到的「具有禁止欄位主體」錯誤？

解決方法

相關資訊

相關內容