¿Por qué aparece el error «Invalid principal in policy» cuando intento actualizar mi política de bucket de Amazon S3?

4 minutos de lectura

Estoy intentando añadir o editar la política de bucket de mi bucket de Amazon Simple Storage Service (Amazon S3) mediante la consola. Sin embargo, recibo el mensaje de error «Error: Invalid principal in policy».

Resolución

Se genera el mensaje Error: Invalid principal in policy cuando el valor de una entidad principal de la política de bucket no es válido. Para resolver este error, compruebe lo siguiente:

La política de bucket utiliza valores admitidos para un elemento de entidad principal.
El elemento de entidad principal tiene el formato correcto.
Si la entidad principal es un usuario o rol de AWS Identity and Access Management (IAM), confirme que el usuario o el rol no se hayan eliminado.

La política de bucket utiliza valores admitidos para un elemento de entidad principal

Revise los elementos de entidad principal de la política de bucket. Compruebe que estén usando uno de estos valores admitidos:

El ARN de un usuario o rol de IAM
Nota: Para buscar el ARN de un usuario de IAM, ejecute el comando get-user de la interfaz de la línea de comandos de AWS (AWS CLI). Para buscar el ARN de un rol de IAM, ejecute el comando get-role de la AWS CLI. Si recibe errores al ejecutar los comandos de la AWS CLI, asegúrese de utilizar la versión más reciente de la AWS CLI.
Un ID de cuenta de AWS o entidades principales de servicio de AWS
La cadena "*" para representar a todos los usuarios

Advertencia: Cuando se utiliza junto con «Acción:» «Permitir», el elemento de entidad principal "*" concede acceso a todos los usuarios, tanto autenticados como anónimos. Antes de utilizar esta combinación en la política de bucket, confirme que su contenido admite este nivel de acceso.

El valor de entidad principal tiene el formato correcto

Revise los elementos de entidad principal de la política y compruebe que tienen el formato correcto. Si la entidad principal incluye un usuario, el elemento debe tener este formato:

"Principal": {
    "AWS": "arn:aws:iam::111111111111:user/user-name1"
}

Al especificar usuarios en un elemento de entidad principal, no puede utilizar "*" para indicar todos los usuarios. Debe incluir usuarios específicos para el elemento de entidad principal.

Si el elemento de entidad principal incluye más de un usuario o rol de IAM, el elemento debe tener este formato:

"Principal": {
  "AWS": [
    "arn:aws:iam::111111111111:user/user-name1",
    "arn:aws:iam::111111111111:role/role-name1"
  ]
}

Si la entidad principal son todos los usuarios, el elemento debe tener este formato:

{
  "Principal": "*"
}

Se recomienda no utilizar un carácter comodín (*) en el elemento de entidad principal de una política basada en recursos con el efecto Permitir. Utilice el carácter comodín solo si tiene la intención de conceder acceso público o anónimo. Especifique las entidades principales, los servicios o las cuentas de AWS previstos en el elemento de entidad principal. A continuación, utilice el elemento de condición para restringir el acceso. Esto es especialmente cierto en el caso de las políticas de confianza para roles de IAM, ya que permiten que otras entidades principales se conviertan en una entidad principal en su cuenta.

El usuario o rol de IAM no se ha eliminado

Si la política de bucket incluye usuarios o roles de IAM en el elemento de entidad principal, confirme que esas identidades de IAM no se hayan eliminado. Asegúrese de especificar identificadores únicos en lugar de ARN completos en el elemento de entidad principal. Esto puede ayudar a identificar los usuarios y roles de IAM eliminados en la política de bucket actual.

Ejemplo:

"Principal": {
  "AWS": [
    "arn:aws:iam::111111111111:user/user-name1",
    "AIDAJQABLZS4A3QDU576Q",
    "arn:aws:iam::111111111111:user/user-name2"
  ]
}

Si intenta guardar la política de bucket con un identificador único como elemento de entidad principal, aparece el Invalid principal in policy. Esto se debe a que el elemento de entidad principal solo admite ARN de IAM válidos. Para resolver este error, debe eliminar cualquier identificador único del elemento de entidad principal.

La cuenta de la entidad principal de IAM no tiene activada ninguna región de AWS

Si el bucket de S3 se encuentra en una región de AWS que no está activada de manera predeterminada, confirme que la región esté activada en la cuenta de la entidad principal de IAM. Para obtener más información, consulte Managing AWS Regions.

Información relacionada

AWS Policy Generator

Elemento de la política de JSON de AWS: Principal

Temas

Almacenamiento

Etiquetas

Amazon Simple Storage Service

Idioma

Español

Vídeos relacionados

Vea el vídeo de Chih-Hui para obtener más información (3:23)

OFICIAL DE AWSActualizada hace un año

Contenido relevante

He creado o actualizado una política de IAM, pero se muestra el error «Has prohibited field Principal». ¿Cómo puedo solucionar este problema?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué aparece el error «The snapshot is currently in use by an AMI» cuando intento eliminar mi instantánea de Amazon EBS?
OFICIAL DE AWSActualizada hace 3 meses
¿Cómo puedo resolver el error de la política de claves de AWS KMS “Policy contains a statement with one or more invalid principals” (La política contiene una declaración con una o más entidades principales no válidas)?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo solucionar el error «Invalid S3 location» cuando intento guardar los resultados de la consulta de Athena en un bucket de S3?
OFICIAL DE AWSActualizada hace 3 años