CloudFrontReadOnlyAccess CloudFrontFullAccess AWSCloudFrontLogger AWSLambdaReplicator Mises à jour des politiques

AWS politiques gérées pour Amazon CloudFront

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour Créer des politiques IAM gérées par le client qui fournissent aux utilisateurs uniquement les autorisations dont ils ont besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont les plus susceptibles de mettre à jour une politique gérée par AWS lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles autorisations deviennent disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

Rubriques

AWS politique gérée : CloudFrontReadOnlyAccess
AWS politique gérée : CloudFrontFullAccess
AWS politique gérée : AWSCloudFrontLogger
AWS politique gérée : AWSLambdaReplicator
CloudFront mises à jour des politiques AWS gérées

AWS politique gérée : CloudFrontReadOnlyAccess

Vous pouvez associer la CloudFrontReadOnlyAccesspolitique à vos identités IAM. Cette politique autorise les autorisations en lecture seule pour les ressources. CloudFront Il autorise également des autorisations en lecture seule pour d'autres ressources de AWS service associées à la CloudFront console et visibles dans celle-ci. CloudFront

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

cloudfront:Describe*— Permet aux directeurs d'obtenir des informations sur les métadonnées relatives aux CloudFront ressources.
cloudfront:Get*— Permet aux responsables d'obtenir des informations détaillées et des configurations pour les CloudFront ressources.
cloudfront:List*— Permet aux directeurs d'obtenir des listes de CloudFront ressources.
cloudfront-keyvaluestore:Describe*- Permet aux principaux d'obtenir des informations sur le magasin de valeurs clés.
cloudfront-keyvaluestore:Get*- Permet aux donneurs d'ordre d'obtenir des informations détaillées et des configurations pour le magasin de valeurs clés.
cloudfront-keyvaluestore:List*- Permet aux directeurs d'obtenir des listes des principales valeurs stockées.
acm:ListCertificates – Permet aux entités principales d'obtenir une liste de certificats ACM.
iam:ListServerCertificates – Permet aux entités principales d’obtenir une liste des certificats de serveur stockés dans IAM.
route53:List* – Permet aux entités principales d'obtenir des listes de ressources Route 53.
waf:ListWebACLs – Permet aux entités principales d'obtenir une liste des ACL Web dans AWS WAF.
waf:GetWebACL – Permet aux entités principales d'obtenir des informations détaillées sur les ACL Web dans AWS WAF.
wafv2:ListWebACLs – Permet aux entités principales d'obtenir une liste des ACL Web dans AWS WAF.
wafv2:GetWebACL – Permet aux entités principales d'obtenir des informations détaillées sur les ACL Web dans AWS WAF.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS politique gérée : CloudFrontFullAccess

Vous pouvez associer la CloudFrontFullAccesspolitique à vos identités IAM. Cette politique autorise les autorisations administratives sur les CloudFront ressources. Il autorise également des autorisations en lecture seule pour d'autres ressources de AWS service associées à la CloudFront console et visibles dans celle-ci. CloudFront

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

s3:ListAllMyBuckets – Permet aux entités principales d'obtenir une liste de tous les compartiments Amazon S3.
acm:ListCertificates – Permet aux entités principales d’obtenir une liste de certificats ACM.
cloudfront:*— Permet aux principaux d'effectuer toutes les actions sur toutes les CloudFront ressources.
cloudfront-keyvaluestore:*- Permet aux principaux d'effectuer toutes les actions sur le magasin de valeurs clés.
iam:ListServerCertificates – Permet aux entités principales d'obtenir une liste des certificats de serveur stockés dans IAM.
waf:ListWebACLs – Permet aux entités principales d'obtenir une liste des ACL Web dans AWS WAF.
waf:GetWebACL – Permet aux entités principales d'obtenir des informations détaillées sur les ACL Web dans AWS WAF.
wafv2:ListWebACLs – Permet aux entités principales d'obtenir une liste des ACL Web dans AWS WAF.
wafv2:GetWebACL – Permet aux entités principales d'obtenir des informations détaillées sur les ACL Web dans AWS WAF.
kinesis:ListStreams – Permet aux entités principales d'obtenir une liste des Amazon Kinesis streams.
kinesis:DescribeStream – Permet aux entités principales d'obtenir des informations détaillées sur un flux Kinesis.
iam:ListRoles – Permet aux entités principales d'obtenir une liste des rôles dans IAM.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}

Important

Si vous souhaitez CloudFront créer et enregistrer des journaux d'accès, vous devez accorder des autorisations supplémentaires. Pour plus d’informations, consultez Autorisations requises pour configurer la journalisation standard et accéder aux fichiers journaux.

AWS politique gérée : AWSCloudFrontLogger

Vous ne pouvez pas associer la AWSCloudFrontLoggerpolitique à vos identités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CloudFront effectuer des actions en votre nom. Pour plus d’informations, consultez Rôles liés à un service pour Lambda@Edge.

Cette politique permet CloudFront d'envoyer des fichiers journaux à Amazon CloudWatch. Pour obtenir des détails sur les autorisations incluses dans cette politique, consultez Autorisations de rôle liées au service pour l'enregistreur CloudFront.

AWS politique gérée : AWSLambdaReplicator

Vous ne pouvez pas associer la AWSLambdaReplicatorpolitique à vos identités IAM. Cette politique est associée à un rôle lié à un service qui permet d' CloudFront effectuer des actions en votre nom. Pour plus d’informations, consultez Rôles liés à un service pour Lambda@Edge.

Cette politique permet CloudFront de créer, de supprimer et de désactiver des fonctions AWS Lambda pour répliquer des fonctions Lambda @Edge dans. Régions AWS Pour obtenir des détails sur les autorisations incluses dans cette politique, consultez Autorisations du rôle lié à un service pour Lambda Replicator.

CloudFront mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées CloudFront depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du CloudFront document.

Modification	Description	Date
CloudFrontReadOnlyAccess et CloudFrontFullAccess : mise à jour de deux politiques existantes.	CloudFront a ajouté de nouvelles autorisations pour les magasins à valeur clé. Les nouvelles autorisations permettent aux utilisateurs d'obtenir des informations sur les magasins à valeur clé et de prendre des mesures à leur sujet.	19 décembre 2023
CloudFrontReadOnlyAccess – Mise à jour d’une politique existante	CloudFront a ajouté une nouvelle autorisation pour décrire CloudFront les fonctions. Cette autorisation permet à l'utilisateur, au groupe ou au rôle de lire les informations et les métadonnées relatives à une fonction, mais pas le code de la fonction.	8 septembre 2021
CloudFront a commencé à suivre les modifications	CloudFront a commencé à suivre les modifications apportées AWS à ses politiques gérées.	8 septembre 2021

Modification

Description

Date

CloudFrontReadOnlyAccess et CloudFrontFullAccess : mise à jour de deux politiques existantes.

CloudFront a ajouté de nouvelles autorisations pour les magasins à valeur clé.

Les nouvelles autorisations permettent aux utilisateurs d'obtenir des informations sur les magasins à valeur clé et de prendre des mesures à leur sujet.

19 décembre 2023

CloudFrontReadOnlyAccess – Mise à jour d’une politique existante

CloudFront a ajouté une nouvelle autorisation pour décrire CloudFront les fonctions.

Cette autorisation permet à l'utilisateur, au groupe ou au rôle de lire les informations et les métadonnées relatives à une fonction, mais pas le code de la fonction.

8 septembre 2021

CloudFront a commencé à suivre les modifications

CloudFront a commencé à suivre les modifications apportées AWS à ses politiques gérées.

8 septembre 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l’identité

Résoudre les problèmes d' CloudFront identité et d'accès