簡短說明
-----------------

如果您未正確[修改 AWS KMS 金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)，則 [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) AWS KMS API 操作會失敗。接著，您可能會收到以下其中一則錯誤訊息：

「PutKeyPolicy request failed MalformedPolicyDocumentException - Policy contains a statement with one or more invalid principals.」

「Policy contains a statement with one or more invalid principals」

若要解決此問題，請完成以下一或多個解決方法。

解決方法
----------

### 使用有效的 JSON 語法

確認您使用有效的 JSON 政策文件資源類型。若要疑難排解 [JSON 語法錯誤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)，請將 JSON 政策文件貼到 JSON 格式化工具中。移除不必要的字元，然後補上遺漏的字元。請務必移除任何重複的 JSON 政策元素與安全識別 (SID) 值。

### 指定主體元素

在 [JSON 政策中的主體元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)，確認您已建立 [AWS Identity and Access Management (IAM) 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和[有效的 Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html#arns-syntax)。

金鑰政策只在包含 AWS KMS key 的 AWS 區域中生效。如果 [AWS KMS 金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)對另一個 AWS 帳戶或主體具有權限，則金鑰政策可能不會生效。請確認您的金鑰政策在正確的區域中包含 AWS KMS key。

您必須將主體元素指定為 IAM 身分。如果您將 AWS 服務指定為主體，請確認 AWS KMS 支援該服務。對於[支援條件索引鍵的 AWS 服務](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#viaService_table)且以[轉送存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)提出請求時，請使用 [kms:ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service) AWS KMS 條件索引鍵。

直接呼叫 AWS KMS 的 AWS 服務，必須在[主體元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)中具有[服務主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)。請確認您使用的 AWS 服務會直接呼叫 AWS KMS。

### 選擇加入區域

與您共用 AWS KMS key 的帳戶，必須在接收者帳戶中[選擇加入區域](https://docs.aws.amazon.com/controltower/latest/userguide/opt-in-region-considerations.html)。請確認您已[在接收者帳戶中啟動該區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。您也可以在 AWS 帳戶和收件者帳戶中，於已啟用的區域內共用另一個 AWS KMS key。

我想要解決 AWS Key Management Service (KMS) 金鑰政策錯誤。

解決 KMS 金鑰政策錯誤「invalid principals」

如何解決 AWS KMS 金鑰政策錯誤？

Security, Identity, & Compliance

使用自动化工作流 SAW 诊断 AWS 环境中的常见问题

為什麼我無法在 AWS KMS 中讀取或更新 AWS KMS 金鑰政策？

如何解決在使用 AWS CloudFormation 建立 AWS KMS key 時收到的錯誤？

在嘗試擷取加密的 Secret Manager 機密後，如何解決 AWS KMS key 存取錯誤？

如何在 AWS KMS 中手動輪換客戶受管金鑰？

我申請了免付費的方案，但收到帳單$125美金

[Glue Studio] Data target 選了 partition key，執行 job 卻說 Partition column not found in schema

aws如何向大陸發送短簡訊，是否可導入人工機器人技術。

AWS能恢復我刪除啟用過後的帳號嗎?

在Hyper-V 裝 AL2023

如何解決 AWS KMS 金鑰政策錯誤？

簡短說明

解決方法

使用有效的 JSON 語法

指定主體元素

選擇加入區域

相關影片

相關內容