错误策略中的主体无效？答案

【问题标题】：Error Invalid principal in policy?错误策略中的主体无效？
【发布时间】：2021-03-14 22:04:22
【问题描述】：

这是我的存储桶策略。我在以下策略中收到 Error Invalid principal in policy 错误。为什么会出现政策有什么问题？

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity AJDNXHS78E5DD4DF41FD5"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::my_bucket/*"
        }
    ]
}

【问题讨论】：

标签： amazon-web-services amazon-s3 amazon-cloudfront

【解决方案1】：

我遇到了同样的问题，最后发现我使用了错误的访问身份字符串，您可以从 Cloud front 部分的 Original Access Identity 选项卡中获取正确的身份

您也可以使用 CanonicalUser 作为选项。

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html

【讨论】：

【解决方案2】：

此“arn:aws:iam::cloudfront:user/CloudFront 源访问身份 AJDNXHS78E5DD4DF41FD5”不是有效的 ARN，例如对于 IAM 用户，格式应为“arn:aws:iam::account-id:user/user-name”，不确定您为什么使用 cloudfront 而不是帐号。看起来您正在尝试授予 cloudfron 原始身份的权限，请使用此处提到的示例策略： http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html

【讨论】：

最好的方法是在这里查看您的政策：awspolicygen.s3.amazonaws.com/policygen.html
这些看起来不像大多数 ARN，但它们是有效的 CloudFront 源访问身份 ARN。有关示例，请参阅 aws.amazon.com/premiumsupport/knowledge-center/…。