AWS kebijakan terkelola untuk Amazon CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon CloudFront

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya memberi pengguna Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau ketika izin baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWS kebijakan terkelola: CloudFrontReadOnlyAccess

Anda dapat melampirkan CloudFrontReadOnlyAccesskebijakan ke identitas IAM Anda. Kebijakan ini mengizinkan izin hanya-baca untuk sumber daya. CloudFront Ini juga memungkinkan izin hanya-baca ke sumber daya AWS layanan lain yang terkait dengan CloudFront dan yang terlihat di konsol. CloudFront

Detail izin

Kebijakan ini mencakup izin berikut.

  • cloudfront:Describe*— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang metadata tentang sumber daya. CloudFront

  • cloudfront:Get*— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci dan konfigurasi untuk sumber daya. CloudFront

  • cloudfront:List*— Memungkinkan kepala sekolah untuk mendapatkan daftar sumber daya. CloudFront

  • cloudfront-keyvaluestore:Describe*- Memungkinkan kepala sekolah untuk mendapatkan informasi tentang penyimpanan nilai kunci.

  • cloudfront-keyvaluestore:Get*- Memungkinkan prinsipal untuk mendapatkan informasi rinci dan konfigurasi untuk penyimpanan nilai kunci.

  • cloudfront-keyvaluestore:List*- Memungkinkan kepala sekolah untuk mendapatkan daftar toko nilai utama.

  • acm:ListCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat ACM.

  • iam:ListServerCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat server yang disimpan di IAM.

  • route53:List*— Memungkinkan kepala sekolah untuk mendapatkan daftar sumber daya Route 53.

  • waf:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar ACL web di. AWS WAF

  • waf:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang ACL web di. AWS WAF

  • wafv2:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar ACL web di. AWS WAF

  • wafv2:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang ACL web di. AWS WAF

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS kebijakan terkelola: CloudFrontFullAccess

Anda dapat melampirkan CloudFrontFullAccesskebijakan ke identitas IAM Anda. Kebijakan ini memungkinkan izin administratif untuk CloudFront sumber daya. Ini juga memungkinkan izin hanya-baca ke sumber daya AWS layanan lain yang terkait dengan CloudFront dan yang terlihat di konsol. CloudFront

Detail izin

Kebijakan ini mencakup izin berikut.

  • s3:ListAllMyBuckets— Memungkinkan kepala sekolah untuk mendapatkan daftar semua ember Amazon S3.

  • acm:ListCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat ACM.

  • cloudfront:*— Memungkinkan kepala sekolah untuk melakukan semua tindakan pada semua sumber daya. CloudFront

  • cloudfront-keyvaluestore:*- Memungkinkan prinsipal untuk melakukan semua tindakan pada penyimpanan nilai kunci.

  • iam:ListServerCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat server yang disimpan di IAM.

  • waf:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar ACL web di. AWS WAF

  • waf:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang ACL web di. AWS WAF

  • wafv2:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar ACL web di. AWS WAF

  • wafv2:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang ACL web di. AWS WAF

  • kinesis:ListStreams— Memungkinkan kepala sekolah untuk mendapatkan daftar aliran Amazon Kinesis.

  • kinesis:DescribeStream— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang aliran Kinesis.

  • iam:ListRoles— Memungkinkan kepala sekolah untuk mendapatkan daftar peran di IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}
penting

Jika Anda CloudFront ingin membuat dan menyimpan log akses, Anda perlu memberikan izin tambahan. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk mengonfigurasi logging standar dan mengakses file log.

AWS kebijakan terkelola: AWSCloudFrontLogger

Anda tidak dapat melampirkan AWSCloudFrontLoggerkebijakan ke identitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudFront untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Lambda @Edge.

Kebijakan ini memungkinkan CloudFront untuk mendorong file log ke Amazon CloudWatch. Untuk detail tentang izin yang disertakan dalam kebijakan ini, lihatIzin peran terkait layanan untuk logger CloudFront.

AWS kebijakan terkelola: AWSLambdaReplicator

Anda tidak dapat melampirkan AWSLambdaReplicatorkebijakan ke identitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudFront untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Lambda @Edge.

Kebijakan ini memungkinkan CloudFront untuk membuat, menghapus, dan menonaktifkan fungsi AWS Lambda untuk mereplikasi fungsi Lambda @Edge. Wilayah AWS Untuk detail tentang izin yang disertakan dalam kebijakan ini, lihatIzin peran terkait layanan untuk replikator Lambda.

CloudFront pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola CloudFront sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat CloudFront dokumen.

Perubahan Deskripsi Tanggal

CloudFrontReadOnlyAccessdan CloudFrontFullAccess - Perbarui ke dua kebijakan yang ada.

CloudFront menambahkan izin baru untuk penyimpanan nilai utama.

Izin baru memungkinkan pengguna untuk mendapatkan informasi tentang, dan mengambil tindakan pada, penyimpanan nilai utama.

 Desember 19, 2023

CloudFrontReadOnlyAccess – Pembaruan ke kebijakan yang ada

CloudFront menambahkan izin baru untuk menggambarkan CloudFront Fungsi.

Izin ini memungkinkan pengguna, grup, atau peran untuk membaca informasi dan metadata tentang suatu fungsi, tetapi bukan kode fungsi.

 8 September 2021

CloudFront mulai melacak perubahan

CloudFront mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 8 September 2021