エラーポリシーにプリンシパルが無効ですか？

Question

これはバケットポリシーです.i以下のポリシーのポリシーエラーで、プリンシパルが無効です。それがなぜ政策に間違っていますか？

{ 
    "Version": "2008-10-17", 
    "Id": "PolicyForCloudFrontPrivateContent", 
    "Statement": [ 
     { 
      "Sid": "1", 
      "Effect": "Allow", 
      "Principal": { 
       "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity AJDNXHS78E5DD4DF41FD5" 
      }, 
      "Action": "s3:GetObject", 
      "Resource": "arn:aws:s3:::my_bucket/*" 
     } 
    ] 
} 

Answer 1

この "ARN：AWS：IAM :: CloudFrontは：ユーザー/ CloudFrontのオリジンアクセスアイデンティティAJDNXHS78E5DD4DF41FD5は、" 例えば、有効ARNではありませんIAMユーザーの場合、フォーマットは "arn：aws：iam :: account-id：user/user-name"でなければなりません。なぜアカウント番号の代わりにクラウドフロントを使用しているのかわかりません。クラウドフロン起源のアイデンティティを許可しようとしているようですが、ここに記載されているサンプルポリシーを使用してください： http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html