Políticas administradas de AWS para Amazon CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorActualizaciones de políticas

Políticas administradas de AWS para Amazon CloudFront

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a los usuarios solo los permisos necesarios. Para comenzar rápidamente, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos de las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una característica nueva o cuando se ofrecen nuevos permisos. Los servicios no eliminan permisos de una política administrada de AWS, de modo que las actualizaciones de las políticas no modificarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Política administrada de AWS: CloudFrontReadOnlyAccess

Puede adjuntar la política CloudFrontReadOnlyAccess a las identidades de IAM. Esta política concede permisos de solo lectura para los recursos de CloudFront. También concede permisos de solo lectura para otros recursos de servicios de AWS que estén relacionados con CloudFront y sean visibles en la consola de CloudFront.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • cloudfront:Describe*: permite a las entidades principales obtener información acerca de los metadatos de los recursos de CloudFront.

  • cloudfront:Get*: permite a las entidades principales obtener información y configuraciones detalladas para los recursos de CloudFront.

  • cloudfront:List*: permite a las entidades principales obtener listas de recursos de CloudFront.

  • cloudfront-keyvaluestore:Describe*: permite a las entidades principales obtener información sobre el almacén de clave-valor.

  • cloudfront-keyvaluestore:Get*: permite a las entidades principales obtener información y configuraciones detalladas para el almacén de clave-valor.

  • cloudfront-keyvaluestore:List*: permite a las entidades principales obtener listas de los almacenes de clave-valor.

  • acm:ListCertificates: permite a las entidades principales obtener una lista de certificados de ACM.

  • iam:ListServerCertificates: permite a las entidades principales obtener una lista de certificados de servidor almacenados en IAM.

  • route53:List*: permite a las entidades principales obtener listas de recursos de Route 53.

  • waf:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.

  • waf:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.

  • wafv2:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.

  • wafv2:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

Política administrada de AWS: CloudFrontFullAccess

Puede adjuntar la política CloudFrontFullAccess a las identidades de IAM. Esta política concede permisos administrativos para los recursos de CloudFront. También concede permisos de solo lectura para otros recursos de servicios de AWS que estén relacionados con CloudFront y sean visibles en la consola de CloudFront.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • s3:ListAllMyBuckets: permite a las entidades principales obtener una lista de todos los buckets de Amazon S3.

  • acm:ListCertificates: permite a las entidades principales obtener una lista de certificados de ACM.

  • cloudfront:*: permite a las entidades principales realizar todas las acciones en todos los recursos de CloudFront.

  • cloudfront-keyvaluestore:*: permite a las entidades principales realizar todas las acciones en el almacén de clave-valor.

  • iam:ListServerCertificates: permite a las entidades principales obtener una lista de certificados de servidor almacenados en IAM.

  • waf:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.

  • waf:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.

  • wafv2:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.

  • wafv2:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.

  • kinesis:ListStreams: permite a las entidades principales obtener una lista de los flujos de Amazon Kinesis.

  • kinesis:DescribeStream: permite a las entidades principales obtener información detallada acerca de un flujo de Kinesis.

  • iam:ListRoles: permite a las entidades principales obtener una lista de roles de IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}
importante

Si desea que CloudFront cree y guarde registros de acceso, debe conceder permisos adicionales. Para obtener más información, consulte Permisos necesarios para configurar el registro estándar y el acceso a archivos de registro.

Política administrada de AWS: AWSCloudFrontLogger

No puede adjuntar la política AWSCloudFrontFullAccess a las identidades de IAM. Esta política va adjunta a un rol vinculado a servicio que permite a CloudFront realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios para Lambda@Edge.

Esta política permite a CloudFront insertar archivos de registro en Amazon CloudWatch. Para obtener más detalles acerca de los permisos incluidos en esta política, consulte Permisos de rol vinculado a servicio para el registrador de CloudFront.

Política administrada de AWS: AWSLambdaReplicator

No puede adjuntar la política AWSLambdaReplicator a las identidades de IAM. Esta política va adjunta a un rol vinculado a servicio que permite a CloudFront realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios para Lambda@Edge.

Esta política permite a CloudFront crear, eliminar y desactivar funciones en AWS Lambda para replicar las funciones Lambda@Edge a Regiones de AWS. Para obtener más detalles acerca de los permisos incluidos en esta política, consulte Permisos del rol vinculado a servicio para el replicador de Lambda.

Actualizaciones de CloudFront en políticas administradas de AWS

Vea los detalles de las actualizaciones de las políticas administradas de AWS para CloudFront desde que este servicio comenzó a hacer un seguimiento de los cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página Historial de revisión de CloudFront.

Cambio Descripción Fecha

CloudFrontReadOnlyAccess y CloudFrontFullAccess: actualización de dos políticas existentes

CloudFront ha agregado nuevos permisos para los almacenes de clave-valor.

Los nuevos permisos permiten a los usuarios obtener información sobre los almacenes de clave-valor y tomar medidas al respecto.

 19 de diciembre de 2023

CloudFrontReadOnlyAccess: actualización de una política existente

CloudFront incorporó un nuevo permiso para describir CloudFront Functions.

Con este permiso, el usuario, el grupo o el rol puede leer información y metadatos sobre una función, pero no el código de la función.

 8 de septiembre de 2021

CloudFront comenzó hacer un seguimiento de los cambios

CloudFront comenzó a hacer un seguimiento de los cambios de sus políticas administradas de AWS.

 8 de septiembre de 2021