在AWS中为OIDC提供程序添加角色时出错

Question

我已经从AWS控制台为Firebase创建了一个OIDC提供程序。接下来，要为这个OIDC提供程序创建一个角色，如AWS博士中所描述的，(不知道是谁编写/维护这样的从未有帮助的文档)，我正在尝试创建如下所示的信任策略：

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "RoleForLoginFirebaseOIDC",
        "Effect": "Allow",
        "Principal": {"Federated": "arn:aws:iam::100110001110:oidc-provider/securetoken.google.com/firebaseProjectId"},
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {
            "StringEquals": {"securetoken.google.com:aud": "firebaseProjectId"},
            "ForAnyValue:StringLike": {"cognito-identity.amazonaws.com:amr": "unauthenticated"}
        }
    }]
}

但是，出现以下两个错误：

• Ln 3，Col 18缺少资源:向策略语句中添加一个Resource或NotResource元素。
• Ln 6，Col 21不受支持的主体:策略类型IDENTITY_POLICY不支持主体元素。移除主体元素。

Answer 1

从AWS控制台添加规则和使用AWS的策略时似乎没有问题-请按照for-idp.html使用CLI添加规则/策略。