如何解決 KMS 金鑰政策錯誤「政策包含具有一個或多個無效委託人的語句」?

上次更新日期︰2021 年 8 月 26 日

在我嘗試修改 AWS Key Management Service (AWS KMS) 金鑰政策時,AWS 管理主控台會顯示錯誤「政策包含一個或多個無效委託人的語句」。

KMS 金鑰政策不包含 Amazon 資源名稱 (ARN),而且包含與 AIDACKCEVSQ6C2EXAMPLE 類似的唯一 ID委託人

簡短描述

建立 AWS Identity and Access Management (IAM) 身分時,可以為其提供易記的名稱,例如 Bob 或開發人員。IAM 實體會以易記名稱和 ARN 進行識別。出於安全考量,這些 IAM 實體還會被指派唯一 ID,例如 AIDACKCEVSQ6C2EXAMPLE。

例如,您在 AWS KMS 金鑰政策中指定了叫做 Alice 的 IAM 使用者,然後 Alice 離開了該公司。隨後雇用叫做 Alice 的新使用者,並使用相同的名稱建立 IAM 使用者。唯一 ID 可確保新的 Alice 無法繼承授予舊 Alice 的許可。

注意:如果 KMS 金鑰政策具有其他帳戶或委託人的許可,金鑰政策只有在託管 KMS 金鑰的區域才有效。如需詳細資訊,請參閱主要委託人概觀

解決方案

從金鑰政策中移除孤立的唯一 ID。如需詳細資訊,請參閱在 AWS KMS 中使用主要政策


此文章是否有幫助?


您是否需要帳單或技術支援?