Je souhaite créer ou mettre à jour une politique IAM et j'ai reçu l'erreur « A interdit le champ Principal ». Comment résoudre ce problème ?

Dernière mise à jour : 15-02-2022

Comment éliminer l'erreur « A interdit le champ principal » avec ma politique AWS Identity and Access Management (IAM) ?

Brève description

L'élément Principal peut être utilisé dans des politiques basées sur les ressources pour contrôler l'utilisateur ou les rôles IAM autorisés à accéder à une ressource. Par exemple, les compartiments Amazon Simple Storage Service (Amazon S3) utilisent la politique basée sur les ressources nommée politique de compartiment pour contrôler l'accès à un compartiment. Les politiques de compartiment utilisent l'élément Principal. Les politiques IAM attachées directement aux identités IAM (utilisateurs, groupes et rôles) accordent des autorisations pour effectuer des appels d'API qui n'ont pas d’élément Principal . Pour plus d'informations, consultez Politiques basées sur l'identité et politiques basées sur les ressources.

Les rôles IAM disposent d'une stratégie basée sur les ressources qui contrôle les personnes autorisées à assumer le rôle et à recevoir des informations d'identification temporaires. Les rôles IAM disposent également d'une stratégie basée sur l'identité qui contrôle les appels d'API que les informations d'identification de sécurité temporaires sont autorisées à effectuer.

Les stratégies basées sur les ressources diffèrent des autorisations au niveau des ressources. Les autorisations au niveau des ressources peuvent être utilisées à la fois dans les stratégies basées sur les ressources et les stratégies basées sur l'identité. Les autorisations au niveau des ressources utilisent l'élément Resource (Ressource) pour restreindre les autorisations aux ressources AWS.

Résolution

Assurez-vous que les politiques utilisant l'élément Principal sont créées avec le service AWS associé à la ressource AWS, et non dans IAM. Recherchez les services AWS qui fonctionnent avec IAM pour confirmer qu’un service AWS utilise bien des politiques basées sur les ressources. Par exemple, les politiques de compartiment Amazon S3 sont configurées dans le service S3, et non dans IAM. Pour obtenir des instructions, consultez Ajout d'une politique de compartiment à l'aide de la console Amazon S3.

La seule politique basée sur les ressources qui existe dans le service IAM lui-même est la politique d'approbation pour les rôles IAM. Pour ajouter une stratégie d'approbation à un rôle IAM, veillez à modifier la stratégie d'approbation et non pas la stratégie d'autorisations. Pour obtenir les instructions, reportez-vous à modification d'une stratégie d'approbation de rôle et d'une stratégie d'autorisations.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?