AWS资源策略-机密管理器中的NotPrincipal资源策略问题

Question

我在aws控制台中以LeadDeveloperRole身份登录，并在秘密管理器中创建了一个秘密。我希望这个秘密只能被LeadDeveloperRole和AdminRole访问，所以我在这个秘密上使用了下面提到的资源策略。在保存此策略时，它显示了一个错误：

“此资源策略将不允许您在将来管理此秘密。”

根据我的理解，否认+ NotPrincipal意味着除了LeadDeveloperRole和AdminRole之外，没有人可以访问它。我是不是漏掉了什么？

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
                "arn:aws:iam::111111111:role/LeadDeveloperRole",
                "arn:aws:iam::111111111:role/AdminRole"
            ]
         },
         "Action": [
             "secretsmanager:*"
        ],
         "Resource":"arn:aws:secretsmanager:region:111111111:secret:secretid-xxxx1i"
      },
      {
         "Effect":"Deny",
         "NotPrincipal":{
            "AWS":[
                "arn:aws:iam::111111111:role/LeadDeveloperRole",
                "arn:aws:iam::111111111:role/AdminRole"
            ]
         },
         "Action": [
             "secretsmanager:*"
        ],
         "Resource":"arn:aws:secretsmanager:region:111111111:secret:secretid-xxxx1i"
      }

   ]
}

更新:使用显式允许更新策略，这将导致相同的错误。

Answer 1

尝试将帐户主体添加到NotPrincipal的列表中，因为如果没有它，请求就会被阻塞，例如"arn:aws:iam::111111111:root“或者仅仅是帐户ID号。

来自医生们

当您在拒绝中使用NotPrincipal时，还必须指定未拒绝的主体的帐户ARN。