Perché ricevo l'errore "Principale non valido nella policy" quando provo ad aggiornare la mia policy del bucket Amazon S3?

4 minuti di lettura

Sto cercando di aggiungere o modificare la policy del mio bucket Amazon Simple Storage Service (Amazon S3) utilizzando la console. Tuttavia, ricevo questo messaggio di errore "Errore: Principale non valido nella policy".

Soluzione

Riceverai il messaggio Errore: Principale non valido nella policy quando il valore di un Principal (Principale) nella policy del bucket non è valido. Per risolvere questo errore, controlla quanto segue:

La tua policy del bucket utilizzi valori supportati per un elemento Principal (Principale).
L'elemento Principal (Principale) sia formattato correttamente.
Se il Principal (Principale) è un utente o un ruolo di AWS Identity and Access Management (IAM), conferma che l'utente o il ruolo non siano stati eliminati.

La tua policy dei bucket utilizzi valori supportati per un elemento Principale

Rivedi gli elementi principali della tua policy del bucket. Verifica che stiano utilizzando uno di questi valori supportati:

L'ARN di un utente o ruolo IAM
Nota: Per trovare l'ARN di un utente IAM, esegui il comando get-user dell’Interfaccia della linea di comando AWS (AWS CLI). Per trovare l'ARN di un ruolo IAM, esegui il comando get-role di AWS CLI. Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS, assicurati di utilizzare la versione più recente di AWS CLI.
Un ID account AWS o i principali del servizio AWS
La stringa "*" per rappresentare tutti gli utenti

Avvertenza: Se utilizzato con "Action:" "Allow", l'elemento "*" Principal (Principale) garantisce l'accesso a tutti gli utenti, sia autenticati che anonimi. Prima di utilizzare questa combinazione nella tua policy del bucket, verifica che i tuoi contenuti supportino questo livello di accesso.

Il valore Principale è formattato correttamente

Esamina gli elementi Principal (Principale) della policy e verifica che siano formattati correttamente. Se Principal (Principale) include un utente, l'elemento deve essere in questo formato:

"Principal": {
    "AWS": "arn:aws:iam::111111111111:user/user-name1"
}

Quando specifichi utenti in un elemento Principal (Principale), non puoi utilizzare "*" per indicare tutti gli utenti. Devi includere utenti specifici per l'elemento Principal (Principale).

Se l'elemento Principal (Principale) include più di un utente IAM o un ruolo IAM, l'elemento deve avere il seguente formato:

"Principal": {
  "AWS": [
    "arn:aws:iam::111111111111:user/user-name1",
    "arn:aws:iam::111111111111:role/role-name1"
  ]
}

Se l'elemento Principal (Principale) include tutti gli utenti, l'elemento deve avere questo formato:

{
  "Principal": "*"
}

È consigliabile non utilizzare un carattere jolly (*) nell'elemento Principal (Principale) di una policy basata sulle risorse con effetto Allow (Consenti). Usa il carattere jolly solo se intendi concedere un accesso pubblico o anonimo. Specifica i principali, i servizi o gli account AWS previsti nell'elemento Principal (Principale). Quindi, utilizza l'elemento Condition (Condizione) per limitare l'accesso. Ciò vale soprattutto per le policy di fiducia dei ruoli IAM, poiché consentono ad altri principali di diventare principali del tuo account.

L'utente o il ruolo IAM non è stato eliminato

Se la tua policy del bucket include utenti o ruoli IAM nell'elemento Principal (Principale), conferma che tali identità IAM non siano state eliminate. Assicurati di specificare gli identificatori univoci anziché gli ARN completi nell'elemento Principal (Principale). Questo può aiutare a identificare gli utenti e i ruoli IAM eliminati nell'attuale policy del bucket.

Esempio:

"Principal": {
  "AWS": [
    "arn:aws:iam::111111111111:user/user-name1",
    "AIDAJQABLZS4A3QDU576Q",
    "arn:aws:iam::111111111111:user/user-name2"
  ]
}

Se tenti di salvare la policy del bucket con un identificatore univoco come elemento Principal (Principale), viene visualizzato l'errore Principale non valido nella policy. Questo perché l'elemento Principal (Principale) supporta solo ARN IAM validi. Per risolvere questo errore, devi rimuovere qualsiasi identificatore univoco dall'elemento Principal (Principale).

L'account del principale IAM non ha una regione AWS attivata

Se il tuo bucket S3 si trova in una regione AWS non attivata per impostazione predefinita, conferma che l'account del principale IAM abbia la regione attivata. Per ulteriori informazioni, consulta Gestione delle regioni AWS.

Informazioni correlate

Generatore di policy AWS

Elementi della policy AWS JSON: Principale

Argomenti

Archiviazione

Tag

Amazon Simple Storage Service

Lingua

Italiano

Video correlati

Guarda il video di Chih-Hui per saperne di più (3:23)

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

In che modo è possibile risolvere l'errore "La policy contiene una istruzione con uno o più principali non validi" relativo alla policy delle chiavi AWS KMS?
AWS UFFICIALEAggiornata 2 anni fa
Perché c'è un formato principale sconosciuto nella mia policy basata sulle risorse IAM?
AWS UFFICIALEAggiornata 2 anni fa
Cosa devo fare se ricevo l'errore "Il tuo account è in uno stato non valido" quando provo ad accedere ai servizi tramite il mio account AWS?
AWS UFFICIALEAggiornata 4 anni fa
Come posso risolvere l'errore della policy di attendibilità IAM "Impossibile aggiornare la policy di attendibilità. Principale non valido nella policy"?
AWS UFFICIALEAggiornata un anno fa