AWS politiche gestite per Amazon CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon CloudFront

Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. La creazione di policy gestite dai clienti IAM che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella IAM User Guide.

AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l'elenco e la descrizione delle policy di funzione dei processi, consulta la sezione Policy gestite da AWS per funzioni di processi nella Guida per l'utente di IAM.

AWS politica gestita: CloudFrontReadOnlyAccess

Puoi allegare la CloudFrontReadOnlyAccesspolicy alle tue identità IAM. Questa policy consente autorizzazioni di sola lettura per le risorse. CloudFront Consente inoltre autorizzazioni di sola lettura per altre risorse AWS di servizio correlate CloudFront e visibili nella console. CloudFront

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • cloudfront:Describe*— Consente ai responsabili di ottenere informazioni sui metadati relativi alle risorse. CloudFront

  • cloudfront:Get*— Consente ai dirigenti di ottenere informazioni e configurazioni dettagliate per le risorse. CloudFront

  • cloudfront:List*— Consente ai dirigenti di ottenere elenchi di risorse. CloudFront

  • cloudfront-keyvaluestore:Describe*- Consente ai dirigenti di ottenere informazioni sull'archivio di valori chiave.

  • cloudfront-keyvaluestore:Get*- Consente ai responsabili di ottenere informazioni e configurazioni dettagliate per il Key Value Store.

  • cloudfront-keyvaluestore:List*- Consente ai presidi di ottenere elenchi degli archivi di valori chiave.

  • acm:ListCertificates: consente alle entità di ottenere un elenco di certificati ACM.

  • iam:ListServerCertificates: consente alle entità di ottenere un elenco dei certificati del server archiviati in IAM.

  • route53:List*: consente alle entità di ottenere elenchi di risorse Route 53.

  • waf:ListWebACLs: consente alle entità di ottenere un elenco di liste di ACL Web in AWS WAF.

  • waf:GetWebACL: consente alle entità di ottenere informazioni dettagliate su ACL Web in AWS WAF.

  • wafv2:ListWebACLs: consente alle entità di ottenere un elenco di liste di ACL Web in AWS WAF.

  • wafv2:GetWebACL: consente alle entità di ottenere informazioni dettagliate su ACL Web in AWS WAF.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS politica gestita: CloudFrontFullAccess

Puoi allegare la CloudFrontFullAccesspolicy alle tue identità IAM. Questa policy consente autorizzazioni amministrative alle risorse. CloudFront Consente inoltre autorizzazioni di sola lettura per altre risorse di AWS servizio correlate CloudFront e visibili nella console. CloudFront

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • s3:ListAllMyBuckets: consente alle entità di ottenere un elenco di tutti i bucket Amazon S3.

  • acm:ListCertificates: consente alle entità di ottenere un elenco di certificati ACM.

  • cloudfront:*— Consente ai responsabili di eseguire tutte le azioni su tutte le risorse. CloudFront

  • cloudfront-keyvaluestore:*- Consente ai principali di eseguire tutte le azioni sull'archivio di valori chiave.

  • iam:ListServerCertificates: consente alle entità di ottenere un elenco dei certificati del server archiviati in IAM.

  • waf:ListWebACLs: consente alle entità di ottenere un elenco di liste di ACL Web in AWS WAF.

  • waf:GetWebACL: consente alle entità di ottenere informazioni dettagliate su ACL Web in AWS WAF.

  • wafv2:ListWebACLs: consente alle entità di ottenere un elenco di liste di ACL Web in AWS WAF.

  • wafv2:GetWebACL: consente alle entità di ottenere informazioni dettagliate su ACL Web in AWS WAF.

  • kinesis:ListStreams: consente alle entità di ottenere un elenco di flussi Amazon Kinesis.

  • kinesis:DescribeStream: consente alle entità di ottenere informazioni dettagliate su un flusso Kinesis.

  • iam:ListRoles: consente alle entità di ottenere un elenco dei ruoli in IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}
Importante

Se si desidera CloudFront creare e salvare i registri di accesso, è necessario concedere autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Autorizzazioni necessarie per configurare la registrazione standard e accedere ai file di registro.

AWS politica gestita: AWSCloudFrontLogger

Non puoi collegare la AWSCloudFrontLoggerpolicy alle tue identità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CloudFront per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Lambda@Edge.

Questa politica consente di CloudFront inviare file di registro ad Amazon CloudWatch. Per dettagli sulle autorizzazioni incluse in questa policy, consulta Autorizzazioni relative ai ruoli collegati al servizio per logger CloudFront.

AWS politica gestita: AWSLambdaReplicator

Non puoi collegare la AWSLambdaReplicatorpolicy alle tue identità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni CloudFront per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Lambda@Edge.

Questa policy consente di CloudFront creare, eliminare e disabilitare funzioni su cui AWS Lambda replicare le funzioni Lambda @Edge. Regioni AWS Per dettagli sulle autorizzazioni incluse in questa policy, consulta Autorizzazioni del ruolo collegato ai servizi per Lambda Replicator.

CloudFront aggiornamenti alle politiche gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite CloudFront da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei CloudFront documenti.

Modifica Descrizione Data

CloudFrontReadOnlyAccess e CloudFrontFullAccess: aggiornamenti a due policy esistenti.

CloudFront ha aggiunto nuove autorizzazioni per gli archivi di valori chiave.

Le nuove autorizzazioni consentono agli utenti di ottenere informazioni sugli archivi di valori chiave e di agire su di essi.

 19 dicembre 2023

CloudFrontReadOnlyAccess: aggiornamento a una policy esistente

CloudFront ha aggiunto una nuova autorizzazione per descrivere CloudFront le funzioni.

Questa autorizzazione consente all'utente, al gruppo o al ruolo di leggere informazioni e metadati su una funzione, ma non il codice della funzione.

 8 settembre 2021

CloudFront ha iniziato a tenere traccia delle modifiche

CloudFront ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.

 8 settembre 2021