Acciones, recursos y claves de condición para Amazon CloudFront - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon CloudFront

Amazon CloudFront (prefijo de servicio: cloudfront) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon CloudFront

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateAlias Concede permiso para asociar un alias a una distribución de CloudFront Write

distribution*

CreateCachePolicy Concede permiso para agregar una nueva política de caché a CloudFront Write

cache-policy*

CreateCloudFrontOriginAccessIdentity Concede permiso para crear una nueva identidad de acceso de origen de CloudFront Write

origin-access-identity*

CreateDistribution Concede permiso para crear una nueva distribución web Escritura

distribution*

CreateFieldLevelEncryptionConfig Concede permiso para crear una nueva configuración de cifrado en el nivel de campo Write

field-level-encryption*

CreateFieldLevelEncryptionProfile Concede permiso para crear un perfil de cifrado en el nivel de campo Write

field-level-encryption-profile*

CreateFunction Concede permiso para crear una función de CloudFront Write

function*

CreateInvalidation Concede permiso para crear una nueva solicitud de lote de invalidación Write

distribution*

CreateKeyGroup Concede permiso para agregar un nuevo grupo de claves a CloudFront Write
CreateMonitoringSubscription Concede permiso para habilitar métricas adicionales de CloudWatch para la distribución de CloudFront especificada. Las métricas adicionales incurren en un costo adicional Write
CreateOriginRequestPolicy Concede permiso para agregar una nueva política de solicitud de origen a CloudFront Write

origin-request-policy*

CreatePublicKey Concede permiso para agregar una nueva clave pública a CloudFront Write
CreateRealtimeLogConfig Concede permiso para crear una configuración de registro en tiempo real Escritura

realtime-log-config*

CreateResponseHeadersPolicy Concede permiso para agregar una nueva política de encabezados de respuesta a CloudFront. Escritura

response-headers-policy*

CreateStreamingDistribution Concede permiso para crear una nueva distribución RTMP Write

streaming-distribution*

CreateStreamingDistributionWithTags Concede permiso para crear una nueva distribución RTMP con etiquetas Escritura

streaming-distribution*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteCachePolicy Concede permiso para eliminar una política de caché Write

cache-policy*

DeleteCloudFrontOriginAccessIdentity Concede permiso para eliminar una identidad de acceso a origen de CloudFront Write

origin-access-identity*

DeleteDistribution Concede permiso para eliminar una distribución web Write

distribution*

DeleteFieldLevelEncryptionConfig Concede permiso para eliminar una configuración de cifrado en el nivel de campo Write

field-level-encryption*

DeleteFieldLevelEncryptionProfile Concede permiso para eliminar un perfil de cifrado en el nivel de campo Write

field-level-encryption-profile*

DeleteFunction Concede permiso para eliminar una función de CloudFront Write

function*

DeleteKeyGroup Concede permiso para eliminar un grupo de claves Write
DeleteMonitoringSubscription Concede permiso para desactivar métricas adicionales de CloudWatch para la distribución especificada de CloudFront Write
DeleteOriginRequestPolicy Concede permiso para eliminar una política de solicitud de origen Write

origin-request-policy*

DeletePublicKey Concede permiso para eliminar una clave pública desde CloudFront Write
DeleteRealtimeLogConfig Concede permiso para eliminar una configuración de registro en tiempo real Escritura

realtime-log-config*

DeleteResponseHeadersPolicy Concede permiso para eliminar una política de encabezados de respuesta. Escritura

response-headers-policy*

DeleteStreamingDistribution Concede permiso para eliminar una distribución RTMP Write

streaming-distribution*

DescribeFunction Concede permiso para obtener un resumen de función de CloudFront Read

function*

GetCachePolicy Concede permiso para obtener la política de caché Read

cache-policy*

GetCachePolicyConfig Concede permiso para obtener la configuración de la política de caché Read

cache-policy*

GetCloudFrontOriginAccessIdentity Concede permiso para obtener información sobre una identidad de acceso de origen de CloudFront Read

origin-access-identity*

GetCloudFrontOriginAccessIdentityConfig Concede permiso para obtener información de configuración sobre una identidad de acceso de origen de CloudFront Read

origin-access-identity*

GetDistribution Concede permiso para obtener información acerca de la distribución web Read

distribution*

GetDistributionConfig Concede permiso para obtener información de configuración acerca de una distribución Read

distribution*

GetFieldLevelEncryption Concede permiso para obtener la información de configuración de cifrado en el nivel de campo Read

field-level-encryption*

GetFieldLevelEncryptionConfig Concede permiso para obtener la información de configuración de cifrado en el nivel de campo Read

field-level-encryption*

GetFieldLevelEncryptionProfile Concede permiso para obtener la información de configuración de cifrado en el nivel de campo Read

field-level-encryption-profile*

GetFieldLevelEncryptionProfileConfig Concede permiso para obtener la información de configuración del perfil de cifrado en el nivel de campo Read

field-level-encryption-profile*

GetFunction Concede permiso para obtener un código de función de CloudFront Read

function*

GetInvalidation Concede permiso para obtener información sobre una invalidación Read

distribution*

GetKeyGroup Concede permiso para obtener un grupo de claves Read
GetKeyGroupConfig Concede permiso para obtener una configuración de grupo de claves Read
GetMonitoringSubscription Concede permiso para obtener información sobre si las métricas adicionales de CloudWatch están habilitadas para la distribución de CloudFront especificada Read
GetOriginRequestPolicy Concede permiso para obtener la política de solicitud de origen Read

origin-request-policy*

GetOriginRequestPolicyConfig Concede permiso para obtener la configuración de la política de solicitud de origen Read

origin-request-policy*

GetPublicKey Concede permiso para obtener la información de clave pública Read
GetPublicKeyConfig Concede permiso para obtener la información de la configuración de clave pública Read
GetRealtimeLogConfig Concede permiso para obtener una configuración de registro en tiempo real Lectura

realtime-log-config*

GetResponseHeadersPolicy Concede permiso para obtener la política de encabezados de respuesta. Lectura

response-headers-policy*

GetResponseHeadersPolicyConfig Concede permiso para obtener la configuración de la política de encabezados de respuesta. Lectura

response-headers-policy*

GetStreamingDistribution Concede permiso para obtener información acerca de la distribución RTMP Read

streaming-distribution*

GetStreamingDistributionConfig Concede permiso para obtener información de configuración acerca de una distribución de streaming Read

streaming-distribution*

ListCachePolicies Concede permiso para enumerar todas las políticas de caché que se han creado en CloudFront para esta cuenta List
ListCloudFrontOriginAccessIdentities Concede permiso para enumerar sus identidades de acceso de origen de CloudFront List
ListConflictingAliases Concede permiso para enumerar todos los alias que entran en conflicto con el alias dado en CloudFront List

distribution*

ListDistributions Concede permiso para enumerar las distribuciones asociadas a su Cuenta de AWS List
ListDistributionsByCachePolicyId Concede permiso para enumerar los ID de distribución para distribuciones que tienen un comportamiento de caché asociado a la política de caché especificada List
ListDistributionsByKeyGroup Concede permiso para enumerar los ID de distribución para distribuciones que tienen un comportamiento de caché asociado al grupo de claves especificado List
ListDistributionsByLambdaFunction [solo permiso] Concede permiso para enumerar las distribuciones asociadas a la función de Lambda List
ListDistributionsByOriginRequestPolicyId Concede permiso para enumerar los ID de distribución para distribuciones que tienen un comportamiento de caché asociado a la política de solicitud de origen especificada List
ListDistributionsByRealtimeLogConfig Concede permiso para obtener una lista de distribuciones que tienen un comportamiento de caché asociado a la configuración de registro en tiempo real especificada List
ListDistributionsByResponseHeadersPolicyId Concede permiso para enumerar los ID de distribución para distribuciones que tienen un comportamiento de caché asociado a la política de encabezados de respuesta especificada. List
ListDistributionsByWebACLId Concede permiso para enumerar las distribuciones asociadas a su Cuenta de AWS con la ACL web de AWS WAF determinada List
ListFieldLevelEncryptionConfigs Concede permiso para enumerar todas las configuraciones de cifrado en el nivel de campo que se han creado en CloudFront para esta cuenta List
ListFieldLevelEncryptionProfiles Concede permiso para enumerar todos los perfiles de cifrado en el nivel de campo que se han creado en CloudFront para esta cuenta List
ListFunctions Concede permiso para obtener una lista de funciones de CloudFront List
ListInvalidations Concede permiso para enumerar los lotes de invalidación List

distribution*

ListKeyGroups Concede permiso para enumerar todos los grupos de claves que se han creado en CloudFront para esta cuenta List
ListOriginRequestPolicies Concede permiso para enumerar todas las políticas de solicitud de origen que se han creado en CloudFront para esta cuenta List
ListPublicKeys Concede permiso para enumerar todas las claves públicas que se han agregado a CloudFront para esta cuenta List
ListRealtimeLogConfigs Concede permiso para obtener una lista de configuraciones de registro en tiempo real List
ListResponseHeadersPolicies Concede permiso para enumerar todas las políticas de encabezados de respuesta que se han creado en CloudFront para esta cuenta. List
ListStreamingDistributions Concede permiso para enumerar sus distribuciones RTMP List
ListTagsForResource Concede permiso para enumerar etiquetas para un recurso de CloudFront Read

distribution

streaming-distribution

PublishFunction Concede permiso para publicar una función de CloudFront Write

function*

TagResource Concede permiso para agregar etiquetas a un recurso de CloudFront Etiquetado

distribution

streaming-distribution

aws:RequestTag/${TagKey}

aws:TagKeys

TestFunction Concede permiso para probar una función de CloudFront Write

function*

UntagResource Concede permiso para eliminar etiquetas de un recurso de CloudFront Etiquetado

distribution

streaming-distribution

aws:TagKeys

UpdateCachePolicy Concede permiso para actualizar una política de caché Write

cache-policy*

UpdateCloudFrontOriginAccessIdentity Concede permiso para establecer la configuración para una identidad de acceso de origen de CloudFront Write

origin-access-identity*

UpdateDistribution Concede permiso para actualizar la configuración de una distribución web Write

distribution*

UpdateFieldLevelEncryptionConfig Concede permiso para actualizar la configuración de cifrado en el nivel de campo Write

field-level-encryption*

UpdateFieldLevelEncryptionProfile Concede permiso para actualizar un perfil de cifrado en el nivel de campo Write

field-level-encryption-profile*

UpdateFunction Concede permiso para actualizar una función de CloudFront Write

function*

UpdateKeyGroup Concede permiso para actualizar un grupo de claves Write
UpdateOriginRequestPolicy Concede permiso para actualizar una política de solicitud de origen Write

origin-request-policy*

UpdatePublicKey Concede permiso para actualizar la información de clave pública Write
UpdateRealtimeLogConfig Concede permiso para actualizar una configuración de registro en tiempo real Escritura

realtime-log-config*

UpdateResponseHeadersPolicy Concede permiso para actualizar una política de encabezados de respuesta. Escritura

response-headers-policy*

UpdateStreamingDistribution Concede permiso para actualizar la configuración de una distribución RTMP Write

streaming-distribution*

Tipos de recurso definidos por Amazon CloudFront

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
distribution arn:${Partition}:cloudfront::${Account}:distribution/${DistributionId}

aws:ResourceTag/${TagKey}

streaming-distribution arn:${Partition}:cloudfront::${Account}:streaming-distribution/${DistributionId}

aws:ResourceTag/${TagKey}

origin-access-identity arn:${Partition}:cloudfront::${Account}:origin-access-identity/${Id}
field-level-encryption arn:${Partition}:cloudfront::${Account}:field-level-encryption/${Id}
field-level-encryption-profile arn:${Partition}:cloudfront::${Account}:field-level-encryption-profile/${Id}
cache-policy arn:${Partition}:cloudfront::${Account}:cache-policy/${Id}
origin-request-policy arn:${Partition}:cloudfront::${Account}:origin-request-policy/${Id}
realtime-log-config arn:${Partition}:cloudfront::${Account}:realtime-log-config/${Name}
function arn:${Partition}:cloudfront::${Account}:function/${Name}
response-headers-policy arn:${Partition}:cloudfront::${Account}:response-headers-policy/${Id}

Claves de condición de Amazon CloudFront

Amazon CloudFront define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString