J'essaie de créer un rôle IAM et de l'attribuer à une instance EC2 selon Attachez un rôle AWS IAM à une instance Amazon EC2 existante à l'aide de l'AWS CLI.

La politique ressemble à ci-dessous:

{
 "Version": "2012-10-17",
 "Statement": [
 {
    "Effect": "Allow",
    "Principal": {
    "Service": "ec2.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
  }
 ]

}

Mais cela donne cette erreur:

This policy contains the following error: Has prohibited field Principal

Il y a une question similaire ici mais cela n'a pas pu résoudre ce problème.

Toute aide serait appréciée.

26
Matrix 3 août 2017 à 11:18

2 réponses

Face au même problème lors de la tentative de mise à jour de la "Relation de confiance" Ou même connu sous le nom de "Politique de confiance". "Principal" vient jouer uniquement dans "Trust Policy". Peut-être par erreur que vous mettez à jour la politique normale sous l'onglet autorisations. Essayez de mettre à jour la stratégie sous l'onglet "Relations de confiance" comme ci-dessous:

    {
      "Version": "2012-10-17",
      "Statement": [
      {
         "Effect": "Allow",
         "Principal": {
           "Service": [
           "ec2.amazonaws.com",
           "lambda.amazonaws.com"
           ]
          },
         "Action": "sts:AssumeRole"
       }
     ] 
   }
13
Abhishek Sinha 13 juin 2019 à 16:57

Écrire une politique à l'intérieur du compartiment -> autorisations -> politique du compartiment -> enregistrer

Remarque : n'écrivez pas de stratégie dans la console iam et les régions de bucket et de surveillance cloud doivent être identiques. l'autre région ne fonctionnera pas.

Utiliser la politique ci-dessous

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.YOUR-CLOUD-WATCH-REGION.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::YOUR-BUCKET-NAME"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.YOUR-CLOUD-WATCH-REGION.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::YOUR-BUCKET-NAME/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
1
madhu 21 janv. 2020 à 09:48