Je souhaite créer ou ajouter une stratégie IAM et j'ai reçu l'erreur « Has prohibited field Principal » (A interdit le champ Mandataire). Comment résoudre ce problème ?

Dernière mise à jour : 09/02/2021

Comment éliminer l'erreur « Has prohibited field Principal » (A interdit le champ principal) avec ma stratégie AWS Identity and Access Management (IAM) ?

Brève description

L'élément Principal (Mandataire) peut être utilisé dans des stratégies basées sur les ressources pour contrôler l'utilisateur ou les rôles IAM autorisés à accéder à une ressource. Par exemple, les types de ressources AWS ont des stratégies basées sur les ressources qui utilisent l'élément Principal (Mandataire) pour contrôler l'accès. Les stratégies IAM attachées directement aux identités IAM (utilisateurs, groupes et rôles) accordent des autorisations pour effectuer des appels d'API qui n'ont pas de champ Principal (Mandataire). Pour plus d'informations, consultez Stratégies basées sur l'identité et stratégies basées sur les ressources.

Les rôles IAM disposent d'une stratégie basée sur les ressources qui contrôle les personnes autorisées à assumer le rôle et à recevoir des informations d'identification temporaires. Les rôles IAM disposent également d'une stratégie basée sur l'identité qui contrôle les appels d'API que les informations d'identification de sécurité temporaires sont autorisées à effectuer.

Les stratégies basées sur les ressources diffèrent des autorisations au niveau des ressources. Les autorisations au niveau des ressources peuvent être utilisées à la fois dans les stratégies basées sur les ressources et les stratégies basées sur l'identité. Les autorisations au niveau des ressources utilisent l'élément Resource (Ressource) pour restreindre les autorisations aux ressources AWS.

Solution

Assurez-vous que les stratégies IAM créées avec le service AWS associé à la ressource AWS, et non pas dans IAM. Par exemple, les stratégies basées sur les ressources pour les ressources AWS telles que les compartiments Amazon Simple Storage Service (Amazon S3) sont créées directement avec ce service et non pas dans IAM. Pour obtenir les instructions, consultez Comment créer un compartiment S3 ?

La seule stratégie basée sur les ressources qui existe dans le service IAM lui-même est la stratégie d'approbation pour les rôles IAM. Pour ajouter une stratégie d'approbation à un rôle IAM, veillez à modifier la stratégie d'approbation et non pas la stratégie d'autorisations. Pour obtenir les instructions, reportez-vous à modification d'une stratégie d'approbation de rôle et d'une stratégie d'autorisations.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?