如何解决 IAM 信任策略错误“无法更新信任策略。策略中的主体无效”?
上次更新日期:2022 年 4 月 4 日
当我尝试使用 AWS 管理控制台编辑我的 AWS Identity and Access Management (IAM) 角色信任策略时,我收到了类似于以下内容的错误:
“无法更新信任策略。策略中的主体无效。”
简短描述
此错误消息表示您的 IAM 信任策略中 Principal(主体)元素的值无效。要解决此错误,请确认以下事项:
- 您的 IAM 角色信任策略对 Principal(主体)元素使用格式正确的受支持值。
- 如果 IAM 角色信任策略使用 IAM 身份(用户、用户组和角色)作为主体,请确认该用户或角色未被删除。
解决方法
验证 Principal(主体)元素支持的值
角色的 IAM 信任策略中的 Principal(主体)元素必须包含以下受支持的值。
1. 确保 IAM 策略包含正确的 AWS 12 位 AWS 账户 ID,如下所示:
"Principal": {
"AWS": "123456789012"
}
注意:也可以使用根用户 Amazon Resource Name(ARN)指定 AWS 账户。例如,arn:aws:iam::123456789012:root。
2. 如果 IAM 信任策略主体是 IAM 用户、角色或联合身份用户,则必须按照以下方式指定整个 ARN:
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/user-name",
"arn:aws:iam::123456789012:role/role-name",
"arn:aws:sts::123456789012:assumed-role/role-name/role-session-name",
"arn:aws:sts::123456789012:federated-user/user-name"
]
}
3 如果 IAM 信任策略包含通配符,请遵循以下准则。
注意:您不能使用通配符“*”来匹配主体名称或 ARN 的一部分。
以下示例在 IAM 信任策略中错误地使用了通配符:
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/user-*"
}
要使用通配符匹配部分主体名称,请将 Condition 元素与全局条件键 aws:PrincipalArn 结合使用,然后使用通配符指定 ARN。
要指定所有 AWS 账户的身份,请使用类似于以下内容的通配符:
"Principal": {
"AWS": "*"
}
重要提示:您可以在 Principal(主体)元素中使用通配符,并在信任策略中使用 Allow(允许)效果。但是,这允许同一分区中任何 AWS 账户中的任何 IAM 用户、担任角色的会话或联合用户访问您的角色。对于 AWS 账户中的 IAM 用户和角色主体,不需要其他权限。对于其他 AWS 账户中的主体,他们必须具有基于身份的权限才能代入您的 IAM 角色。
此方法不允许 Web 身份会话主体、SAML 会话主体或服务主体访问您的资源。
作为最佳实践,仅将此方法与 Condition 元素和条件键(如 aws: PrincipalArn)结合使用,以限制类似于以下内容的权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:user/user-*"
}
}
}
]
}
此示例信任策略使用 aws:PrincipalArn 条件键,以仅允许用户名相符的用户代入 IAM 角色。
4. 如果您的 IAM 角色是 AWS 服务角色,则必须指定类似于以下内容的整个服务主体:
"Principal": {
"Service": "ec2.amazonaws.com"
}
5. 您可以将 SAML 会话主体与外部 SAML 身份提供商结合使用,对 IAM 用户进行身份验证。IAM 角色的信任策略必须具有类似于以下内容的 Principal(主体)元素:
"Principal": {
"Federated": "arn:aws:iam::123456789012:saml-provider/provider-name"
}
6. 您可以使用 Web 身份会话主体对 IAM 用户进行身份验证。提供访问权限的 IAM 角色的信任策略必须具有类似于以下内容的 Principal(主体)元素:
"Principal": { "Federated": "cognito-identity.amazonaws.com" }
7. 如果您在单个语句中使用不同的主体类型,请将 IAM 信任策略的格式设置为如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/user-name",
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
IAM 用户或角色必须是现有身份
如果您的 IAM 角色信任策略使用 IAM 用户或角色作为主体,请确认这些 IAM 身份未被删除。如果您修改了 IAM 信任策略并且删除了主体,则会出现“策略中的主体无效”错误。
注意:如果主体已删除,请在 IAM 信任策略中记下主体的唯一 ID,而不是 ARN。