CMK キーポリシーエラー「Policy contains a statement with one or more invalid principals」を解決する方法を教えてください。

最終更新日: 2019 年 1 月 9 日

AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) キーポリシーを変更しようとすると、AWS マネジメントコンソールに「Policy contains a statement with one or more invalid principals」というエラーが表示されます。CMK ポリシーには Amazon リソースネーム (ARN) は含まれず、AIDAJQABLZS4A3QDU576Q のような一意の ID を持つプリンシパルが含まれます。

簡単な説明

AWS Identity and Access Management (IAM) のアイデンティティを作成するときは、Bob や Developers などのフレンドリ名を付けます。IAM エンティティは、フレンドリ名と ARN で識別されます。セキュリティ上の理由から、これらの IAM エンティティには AIDAJQABLZS4A3QDU576Q などの一意の ID も割り当てられます。

たとえば、Alice という名前の IAM ユーザーが AWS KMS キーポリシーで指定されており、Alice は退職したとします。その後、Alice という名前の新しいユーザーが雇用され、同じ名前の IAM ユーザーが作成されます。一意の ID があることで、新しい Alice は、古い Alice に付与されたアクセス許可を継承することができません。

 

解決方法

孤立した一意の ID をキーポリシーから削除します。詳細については「AWS KMS でのキーポリシーの使用」を参照してください。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合