Amazon Web Services – 管理密钥管理系统中的无效密钥

在本文中，我们将研究如何解决指示“客户主密钥策略声明包含一个或多个无效主体”的错误。

当我们在 AWS Identity and Access Management (IAM) 中创建身份时。我们经常给他们起友好的名字，比如开发者、一些名字或管理员。 IAM 实体也可以通过其ARN进行标识。当 IAM 创建用户组角色策略实例配置文件或服务器证书时，它会为每个实体分配一个唯一 ID，如下所示：

LJKSDFGHLK9FGHKLJ5GFH

假设在 AWS Key Management Service 密钥策略中指定了我们公司的 IAM 用户 user1，并且 user1 离开了公司。然后雇用了一个也名为 user1 的新人，一个 IAM 用户可能会被创建为同名。通常，当删除有权访问 KMS 密钥的 IAM 用户或 IAM 规则时，KMS 会将该实体的 ARN 替换为其在密钥策略中的唯一 ID。

这确保了这个新员工 user1 不会继承授予我们之前用户的密钥权限。

要解决此问题，请执行以下步骤：

第 1 步：登录 AWS 管理控制台后，导航到 KMS 控制台。然后选择键。

第 2 步：现在选择密钥策略。

在这里，我们可以看到所选密钥的当前权限。

第 3 步：导航到 IAM 控制台并选择所需的用户，然后选择Delete user 。

第 4 步：接下来选择角色。

第 5 步：选择角色AdminRole 。

第 6 步：然后选择删除角色。

步骤 7：导航回 KMS 控制台。请注意，用户 user1 和 admin 规则的 ARN 现在已替换为其唯一 ID。

第 8 步：要解决上述错误，请查看密钥策略中的语句并删除所有唯一 ID，同时注意尾随逗号。选择保存更改。

所以现在我们已经向您展示了为什么在 KMS 中会出现无效原则错误以及如何解决这个问题。