如何解决 IAM 信任策略错误“无法更新信任策略。策略中的主体无效”?

上次更新日期:2022 年 4 月 4 日

当我尝试使用 AWS 管理控制台编辑我的 AWS Identity and Access Management (IAM) 角色信任策略时,我收到了类似于以下内容的错误:

“无法更新信任策略。策略中的主体无效。”

简短描述

此错误消息表示您的 IAM 信任策略中 Principal(主体)元素的值无效。要解决此错误,请确认以下事项:

  • 您的 IAM 角色信任策略对 Principal(主体)元素使用格式正确的受支持值。
  • 如果 IAM 角色信任策略使用 IAM 身份(用户、用户组和角色)作为主体,请确认该用户或角色未被删除。

解决方法

验证 Principal(主体)元素支持的值

角色的 IAM 信任策略中的 Principal(主体)元素必须包含以下受支持的值。

1.    确保 IAM 策略包含正确的 AWS 12 位 AWS 账户 ID,如下所示:

"Principal": {
"AWS": "123456789012"
}

注意:也可以使用根用户 Amazon Resource Name(ARN)指定 AWS 账户。例如,arn:aws:iam::123456789012:root。

2.    如果 IAM 信任策略主体是 IAM 用户、角色或联合身份用户,则必须按照以下方式指定整个 ARN:

"Principal": {
  "AWS": [
    "arn:aws:iam::123456789012:user/user-name",
    "arn:aws:iam::123456789012:role/role-name",
    "arn:aws:sts::123456789012:assumed-role/role-name/role-session-name",
    "arn:aws:sts::123456789012:federated-user/user-name"
  ]
}

3    如果 IAM 信任策略包含通配符,请遵循以下准则。

注意:您不能使用通配符*”来匹配主体名称或 ARN 的一部分。

以下示例在 IAM 信任策略中错误地使用了通配符:

"Principal": {
  "AWS": "arn:aws:iam::123456789012:user/user-*"
}

要使用通配符匹配部分主体名称,请将 Condition 元素与全局条件键 aws:PrincipalArn 结合使用,然后使用通配符指定 ARN。

要指定所有 AWS 账户的身份,请使用类似于以下内容的通配符:

"Principal": {
  "AWS": "*"
}

重要提示:您可以在 Principal(主体)元素中使用通配符,并在信任策略中使用 Allow(允许)效果。但是,这允许同一分区中任何 AWS 账户中的任何 IAM 用户、担任角色的会话或联合用户访问您的角色。对于 AWS 账户中的 IAM 用户和角色主体,不需要其他权限。对于其他 AWS 账户中的主体,他们必须具有基于身份的权限才能代入您的 IAM 角色。

此方法不允许 Web 身份会话主体、SAML 会话主体或服务主体访问您的资源。

作为最佳实践,仅将此方法与 Condition 元素和条件键(如 aws: PrincipalArn)结合使用,以限制类似于以下内容的权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": "arn:aws:iam::123456789012:user/user-*"
        }
      }
    }
  ]
}

此示例信任策略使用 aws:PrincipalArn 条件键,以仅允许用户名相符的用户代入 IAM 角色。

4.    如果您的 IAM 角色是 AWS 服务角色,则必须指定类似于以下内容的整个服务主体:

"Principal": {
  "Service": "ec2.amazonaws.com"
}

5.    您可以将 SAML 会话主体与外部 SAML 身份提供商结合使用,对 IAM 用户进行身份验证。IAM 角色的信任策略必须具有类似于以下内容的 Principal(主体)元素:

"Principal": {
  "Federated": "arn:aws:iam::123456789012:saml-provider/provider-name"
}

6.    您可以使用 Web 身份会话主体对 IAM 用户进行身份验证。提供访问权限的 IAM 角色的信任策略必须具有类似于以下内容的 Principal(主体)元素:

"Principal": { "Federated": "cognito-identity.amazonaws.com" }

7.    如果您在单个语句中使用不同的主体类型,请将 IAM 信任策略的格式设置为如下所示:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/user-name",
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

IAM 用户或角色必须是现有身份

如果您的 IAM 角色信任策略使用 IAM 用户或角色作为主体,请确认这些 IAM 身份未被删除。如果您修改了 IAM 信任策略并且删除了主体,则会出现“策略中的主体无效”错误。

注意:如果主体已删除,请在 IAM 信任策略中记下主体的唯一 ID,而不是 ARN。