我已建立或更新 IAM 政策，並收到錯誤「已禁止欄位主體」。我該如何解決這個問題？

簡短描述

主體元素可用於資源型政策中以控制可存取資源的 IAM 使用者或角色。例如，Amazon Simple Storage Service (Amazon S3) 儲存貯體使用名為 bucket policy 的資源型政策來控制儲存貯體的存取。儲存貯體政策使用主體元素。直接附加至 IAM 身分 (使用者、群組和角色) 的 IAM 政策授予權限，以進行沒有主體元素的 API 呼叫。如需詳細資訊，請參閱以身分為基礎的政策和以資源為基礎的政策。

IAM 角色具有資源型政策，可控制允許擔任該角色並接收臨時憑證的人員。IAM 角色還具有以身分為基礎的政策，用於控制允許建立臨時安全憑證的 API 呼叫內容。

資源型政策與資源層級權限不同。資源層級權限可用於資源型政策和以身分為基礎的政策。資源層級授權使用資源元素限制 AWS 資源權限。

解決方法

確保使用主體元素的政策是使用與 AWS 資源相關聯的 AWS 服務建立的，而不是在 IAM 中建立的。檢查與 IAM 搭配使用的 AWS 服務，以確認 AWS 服務是否使用資源型政策。例如，Amazon S3 儲存貯體政策是在 S3 服務中設定的，而不是在 IAM 中設定。如需指示，請參閱使用 Amazon S3 主控台新增儲存貯體政策。

IAM 服務本身中唯一資源型政策是 IAM 角色的信任政策。若要將信任政策新增至 IAM 角色，請確定您編輯的是信任政策，而非權限政策。如需指示，請參閱修改角色信任政策和權限政策。

---

相關資訊

編輯現有角色的信任關係

授予使用者切換角色的權限