我该如何解决 CMK 密钥策略错误“Policy contains a statement with one or more invalid principals”?

上次更新时间:2019 年 1 月 9 日

当我尝试修改 AWS Key Management Service (AWS KMS) 客户主密钥 (CMK) 的密钥策略时,AWS 管理控制台显示错误“Policy contains a statement with one or more invalid principals”。CMK 策略不包含 Amazon 资源名称 (ARN),它包含一个具有类似于 AIDAJQABLZS4A3QDU576Q 的唯一 ID委托人

简要描述

当您创建 AWS Identity and Access Management (IAM) 身份时,您向其提供 易记名称,例如“Bob”或“Developers”。IAM 实体通过易记名称和 ARN 来标识。出于安全原因,系统也为这些 IAM 实体指定了唯一的 ID,例如 AIDAJQABLZS4A3QDU576Q。

例如,您在 AWS KMS 密钥策略中指定了名为 Alice 的 IAM 用户,Alice 从公司离职。然后,雇用了名为 Alice 的新用户,于是以相同的名称创建了 IAM 用户。唯一 ID 确保新来的 Alice 不能继承之前授予旧 Alice 的权限。

解决方法

从密钥策略中移除无人使用的唯一 ID。有关更多信息,请参阅使用 AWS KMS 中的密钥策略


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?