CloudFront-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen - Amazon CloudFront

CloudFront-API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen

Wenn Sie die Zugriffskontrolle einrichten und eine Berechtigungsrichtlinie für eine IAM-Identität (identitätsbasierte Richtlinien) verfassen, können Sie die folgenden Tabellen als Referenz verwenden. In den Tabellen Auflistung sind sämtliche CloudFront-API-Operationen sowie die zugehörigen Aktionen und AWS-Ressourcen, für die Sie Berechtigungen erteilen können, aufgeführt. Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an.

Zum Formulieren von Bedingungen in Ihren CloudFront-Richtlinien können Sie die AWS-weiten Bedingungsschlüssel verwenden. Eine vollständige Liste der AWS-weiten Schlüssel enthält der Abschnitt Verfügbare Schlüssel im IAM Benutzerhandbuch.

Erforderliche Berechtigungen für Aktionen zu Verteilungen

CreateDistribution

Erforderliche Berechtigungen (API-Aktion):

  • cloudfront:CreateDistribution

  • acm:ListCertificates ( Nur CloudFront-Konsole)

  • Nur, wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • Die S3-ACL muss Ihnen für den Bucket gewähren FULL_CONTROL

Ressourcen:

  • CloudFront: *

  • ACM: *

  • Amazon S3: Wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren, können Sie optional den Zugriff auf einen angegebenen Bucket beschränken.

CreateDistributionWithTags

Erforderliche Berechtigungen (API-Aktion):

  • cloudfront:CreateDistribution, cloudfront:TagResource

  • acm:ListCertificates ( Nur CloudFront-Konsole)

  • Nur, wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • Die S3-ACL muss Ihnen für den Bucket gewähren FULL_CONTROL

Ressourcen:

  • CloudFront: *

  • ACM: *

  • Amazon S3: Wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren, können Sie optional den Zugriff auf einen angegebenen Bucket beschränken.

GetDistribution

Erforderliche Berechtigungen (API-Aktion): cloudfront:GetDistribution, acm:ListCertificates (nur CloudFront-Konsole)

Ressourcen: *

GetDistributionConfig

Erforderliche Berechtigungen (API-Aktion): cloudfront:GetDistributionConfig, acm:ListCertificates (nur CloudFront-Konsole)

Ressourcen: *

ListDistributions

Erforderliche Berechtigungen (API-Aktion): cloudfront:ListDistributions

Ressourcen: *

UpdateDistribution

Erforderliche Berechtigungen (API-Aktion):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates ( Nur CloudFront-Konsole)

  • Nur, wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • Die S3-ACL muss Ihnen für den Bucket gewähren FULL_CONTROL

Ressourcen:

  • CloudFront: *

  • ACM: *

  • Amazon S3: Wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren, können Sie optional den Zugriff auf einen angegebenen Bucket beschränken.

DeleteDistribution

Erforderliche Berechtigungen (API-Aktion): cloudfront:DeleteDistribution

Ressourcen: *

Erforderliche Berechtigungen für Aktionen zu Invalidierungen

CreateInvalidation

Erforderliche Berechtigungen (API-Aktion): cloudfront:CreateInvalidation

Ressourcen: *

GetInvalidation

Erforderliche Berechtigungen (API-Aktion): cloudfront:GetInvalidation

Ressourcen: *

ListInvalidations

Erforderliche Berechtigungen (API-Aktion): cloudfront:ListInvalidations

Ressourcen: *

Erforderliche Berechtigungen für Aktionen zu Ursprungszugriffsidentitäten

CreateCloudFrontOriginAccessIdentity

Erforderliche Berechtigungen (API-Aktion): cloudfront:CreateCloudFrontOriginAccessIdentity

Ressourcen: *

GetCloudFrontOriginAccessIdentity

Erforderliche Berechtigungen (API-Aktion): cloudfront:GetCloudFrontOriginAccessIdentity

Ressourcen: *

GetCloudFrontOriginAccessIdentityConfig

Erforderliche Berechtigungen (API-Aktion): cloudfront:GetCloudFrontOriginAccessIdentityConfig

Ressourcen: *

ListCloudFrontOriginAccessIdentities

Erforderliche Berechtigungen (API-Aktion): cloudfront:ListCloudFrontOriginAccessIdentities

Ressourcen: *

UpdateCloudFrontOriginAccessIdentity

Erforderliche Berechtigungen (API-Aktion): cloudfront:UpdateCloudFrontOriginAccessIdentity

Ressourcen: *

DeleteCloudFrontOriginAccessIdentity

Erforderliche Berechtigungen (API-Aktion): cloudfront:DeleteCloudFrontOriginAccessIdentity

Ressourcen: *

Erforderliche Berechtigungen für CloudFront-Aktionen im Zusammenhang mit Lambda@Edge

Um Lambda@Edge verwenden zu können, benötigen Sie die folgenden CloudFront-Berechtigungen, damit Sie eine Verteilung erstellen oder aktualisieren können, die Auslöser für Lambda-Funktionen enthält.

CreateDistribution

Erforderliche Berechtigungen (API-Aktion):

  • cloudfront:CreateDistribution

  • acm:ListCertificates ( Nur CloudFront-Konsole)

  • Nur, wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • Die S3-ACL muss Ihnen für den Bucket gewähren FULL_CONTROL

Ressourcen:

  • CloudFront: *

  • ACM: *

  • Amazon S3: Wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren, können Sie optional den Zugriff auf einen angegebenen Bucket beschränken.

CreateDistributionWithTags

Erforderliche Berechtigungen (API-Aktion):

  • cloudfront:CreateDistribution, cloudfront:TagResource

  • acm:ListCertificates ( Nur CloudFront-Konsole)

  • Nur, wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • Die S3-ACL muss Ihnen für den Bucket gewähren FULL_CONTROL

Ressourcen:

  • CloudFront: *

  • ACM: *

  • Amazon S3: Wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren, können Sie optional den Zugriff auf einen angegebenen Bucket beschränken.

UpdateDistribution

Erforderliche Berechtigungen (API-Aktion):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates ( Nur CloudFront-Konsole)

  • Nur, wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • Die S3-ACL muss Ihnen für den Bucket gewähren FULL_CONTROL

Ressourcen:

  • CloudFront: *

  • ACM: *

  • Amazon S3: Wenn Sie CloudFront zum Speichern von Zugriffsprotokollen konfigurieren, können Sie optional den Zugriff auf einen angegebenen Bucket beschränken.

Erforderliche Berechtigungen für Aktionen zu Tags

TagResource

Erforderliche Berechtigungen (API-Aktion): cloudfront:TagResource

Ressourcen: *

UntagResource

Erforderliche Berechtigungen (API-Aktion): cloudfront:UntagResource

Ressourcen: *

ListTagsForResource

Erforderliche Berechtigungen (API-Aktion): cloudfront:ListTagsForResource

Ressourcen: *