AWS verwaltete Richtlinien für Amazon CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon CloudFront

Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihren Benutzern nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM-Benutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, wenn eine neue Funktion gestartet wird oder neue Berechtigungen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

AWS verwaltete Richtlinie: CloudFrontReadOnlyAccess

Sie können die CloudFrontReadOnlyAccessRichtlinie an Ihre IAM-Identitäten anhängen. Diese Richtlinie ermöglicht nur Leseberechtigungen für Ressourcen. CloudFront Sie ermöglicht auch schreibgeschützte Berechtigungen für andere AWS Dienstressourcen, die sich auf die Konsole beziehen CloudFront und in der Konsole sichtbar sind. CloudFront

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • cloudfront:Describe*— Ermöglicht Prinzipalen das Abrufen von Informationen über Metadaten zu Ressourcen. CloudFront

  • cloudfront:Get*— Ermöglicht Prinzipalen, detaillierte Informationen und Konfigurationen für CloudFront Ressourcen abzurufen.

  • cloudfront:List*— Ermöglicht Prinzipalen das Abrufen von Ressourcenlisten. CloudFront

  • cloudfront-keyvaluestore:Describe*— Ermöglicht Prinzipalen das Abrufen von Informationen über den Schlüsselwertspeicher.

  • cloudfront-keyvaluestore:Get*- Ermöglicht es den Prinzipalen, detaillierte Informationen und Konfigurationen für den Schlüsselwertspeicher abzurufen.

  • cloudfront-keyvaluestore:List*- Ermöglicht Prinzipalen das Abrufen von Listen der Schlüsselwertspeicher.

  • acm:ListCertificates – Ermöglicht es Prinzipalen, eine Liste von ACM-Zertifikaten abzurufen.

  • iam:ListServerCertificates – Ermöglicht es Prinzipalen, eine Liste der in IAM gespeicherten Serverzertifikate abzurufen.

  • route53:List* – Ermöglicht es Prinzipalen, Listen von Route 53-Ressourcen abzurufen.

  • waf:ListWebACLs – Ermöglicht Prinzipalen das Abrufen einer Liste von Web-ACLs in AWS WAF.

  • waf:GetWebACL – Ermöglicht es Prinzipalen, detaillierte Informationen zu Web-ACLs in AWS WAF abzurufen.

  • wafv2:ListWebACLs – Ermöglicht Prinzipalen das Abrufen einer Liste von Web-ACLs in AWS WAF.

  • wafv2:GetWebACL – Ermöglicht es Prinzipalen, detaillierte Informationen zu Web-ACLs in AWS WAF abzurufen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS verwaltete Richtlinie: CloudFrontFullAccess

Sie können die CloudFrontFullAccessRichtlinie an Ihre IAM-Identitäten anhängen. Diese Richtlinie gewährt Administratorberechtigungen für Ressourcen. CloudFront Sie ermöglicht auch Nur-Leseberechtigungen für andere AWS Dienstressourcen, die sich auf die Konsole beziehen CloudFront und in der CloudFront Konsole sichtbar sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • s3:ListAllMyBuckets – Ermöglicht es Prinzipalen, eine Liste aller Amazon S3 Buckets abzurufen.

  • acm:ListCertificates – Ermöglicht es Prinzipalen, eine Liste von ACM-Zertifikaten abzurufen.

  • cloudfront:*— Ermöglicht Prinzipalen, alle Aktionen für alle Ressourcen auszuführen. CloudFront

  • cloudfront-keyvaluestore:*- Ermöglicht Prinzipalen, alle Aktionen im Schlüsselwertspeicher auszuführen.

  • iam:ListServerCertificates – Ermöglicht es Prinzipalen, eine Liste der in IAM gespeicherten Serverzertifikate abzurufen.

  • waf:ListWebACLs – Ermöglicht Prinzipalen das Abrufen einer Liste von Web-ACLs in AWS WAF.

  • waf:GetWebACL – Ermöglicht es Prinzipalen, detaillierte Informationen zu Web-ACLs in AWS WAF abzurufen.

  • wafv2:ListWebACLs – Ermöglicht Prinzipalen das Abrufen einer Liste von Web-ACLs in AWS WAF.

  • wafv2:GetWebACL – Ermöglicht es Prinzipalen, detaillierte Informationen zu Web-ACLs in AWS WAF abzurufen.

  • kinesis:ListStreams – Ermöglicht Prinzipalen das Abrufen einer Liste von Amazon Kinesis Streams.

  • kinesis:DescribeStream – Ermöglicht Prinzipalen das Abrufen detaillierter Informationen zu einem Kinesis Stream.

  • iam:ListRoles – Erlaubt Prinzipalen das Abrufen einer Liste von Rollen in IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}
Wichtig

Wenn Sie Zugriffsprotokolle erstellen und speichern CloudFront möchten, müssen Sie zusätzliche Berechtigungen gewähren. Weitere Informationen finden Sie unter Für die Konfiguration der Standardprotokollierung und für den Zugriff auf Protokolldateien sind Berechtigungen erforderlich.

AWS verwaltete Richtlinie: AWSCloudFrontLogger

Sie können die AWSCloudFrontLoggerRichtlinie nicht an Ihre IAM-Identitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es ermöglicht, Aktionen CloudFront in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Lambda@Edge.

Diese Richtlinie ermöglicht es CloudFront , Protokolldateien an Amazon zu übertragen CloudWatch. Details zu Berechtigungen dieser Richtlinie finden Sie unter Dienstbezogene Rollenberechtigungen für Logger CloudFront.

AWS verwaltete Richtlinie: AWSLambdaReplicator

Sie können die AWSLambdaReplicatorRichtlinie nicht an Ihre IAM-Identitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es ermöglicht, Aktionen CloudFront in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Lambda@Edge.

Diese Richtlinie ermöglicht das Erstellen CloudFront , Löschen und Deaktivieren von Funktionen, AWS Lambda auf die Lambda @Edge -Funktionen repliziert werden sollen. AWS-Regionen Details zu Berechtigungen dieser Richtlinie finden Sie unter Serviceverknüpfte Rollenberechtigungen für Lambda Replicator.

CloudFront Aktualisierungen der verwalteten AWS Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die CloudFront seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite CloudFront Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

CloudFrontReadOnlyAccess und CloudFrontFullAccess – Update von zwei vorhandenen Richtlinien.

CloudFront neue Berechtigungen für Key-Value-Stores hinzugefügt.

Die neuen Berechtigungen ermöglichen es Benutzern, Informationen über Key-Value-Stores abzurufen und entsprechende Maßnahmen zu ergreifen.

 19. Dezember 2023

CloudFrontReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie

CloudFront eine neue Berechtigung zur Beschreibung von CloudFront Funktionen hinzugefügt.

Diese Berechtigung ermöglicht es dem Benutzer, der Gruppe oder der Rolle, Informationen und Metadaten über eine Funktion zu lesen, nicht jedoch den Code der Funktion.

 8. September 2021

CloudFront hat begonnen, Änderungen zu verfolgen

CloudFront hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 8. September 2021