Azioni, risorse e chiavi di condizione per Amazon CloudFront - Service Authorization Reference

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Azioni, risorse e chiavi di condizione per Amazon CloudFront

Amazon CloudFront (prefisso del servizio:cloudfront) fornisce le seguenti risorse, azioni e chiavi di contesto delle condizioni specifiche del servizio da utilizzare nelle IAM politiche di autorizzazione.

Riferimenti:

Azioni definite da Amazon CloudFront

È possibile specificare le seguenti azioni nell'Actionelemento di una dichiarazione IAM politica. Utilizza le policy per concedere le autorizzazioni per eseguire un'operazione in AWS. Quando si utilizza un'azione in una politica, in genere si consente o si nega l'accesso all'APIoperazione o al CLI comando con lo stesso nome. Tuttavia, in alcuni casi, una singola operazione controlla l'accesso a più di una operazione. In alternativa, alcune operazioni richiedono operazioni differenti.

La colonna Tipi di risorsa della tabella Operazioni indica se ogni operazione supporta le autorizzazioni a livello di risorsa. Se non vi è nessun valore in corrispondenza di questa colonna, è necessario specificare tutte le risorse ("*") alle quali si applica la policy nell'elemento Resource dell'istruzione di policy. Se la colonna include un tipo di risorsa, è possibile specificarne uno ARN di quel tipo in un'istruzione con tale azione. Se l'operazione ha una o più risorse richieste, il chiamante deve disporre dell'autorizzazione per utilizzare l'operazione con tali risorse. Le risorse richieste sono indicate nella tabella con un asterisco (*). Se si limita l'accesso alle risorse con l'Resourceelemento di una IAM policy, è necessario includere uno schema ARN o per ogni tipo di risorsa richiesto. Alcune operazioni supportano più tipi di risorse. Se il tipo di risorsa è facoltativo (non indicato come obbligatorio), puoi scegliere di utilizzare uno tra i tipi di risorsa facoltativi.

La colonna Chiavi di condizione della tabella Operazioni contiene le chiavi che è possibile specificare nell'elemento Condition di un'istruzione di policy. Per ulteriori informazioni sulle chiavi di condizione associate alle risorse per il servizio guarda la colonna Chiavi di condizione della tabella Tipi di risorsa.

Nota

Le chiavi relative alle condizioni delle risorse sono elencate nella tabella Tipi di risorse. Nella colonna Tipi di risorse (*obbligatorio) della tabella Operazioni è presente un collegamento al tipo di risorsa che si applica a un'operazione. Il tipo di risorsa nella tabella Tipi di risorse include la colonna Chiavi di condizione, che contiene le chiavi delle condizioni delle risorse che si applicano a un'operazione nella tabella Operazioni.

Per dettagli sulle colonne nella tabella seguente, consultare Tabella delle operazioni.

Azioni Descrizione Livello di accesso Tipi di risorsa (*obbligatorio) Chiavi di condizione Operazioni dipendenti
AllowVendedLogDeliveryForResource [solo autorizzazione] Concede l'autorizzazione a configurare la consegna dei log distribuiti per una distribuzione Gestione delle autorizzazioni

distribution

AssociateAlias Concede l'autorizzazione ad associare un alias a una distribuzione CloudFront Scrittura

distribution*

CopyDistribution Concede l'autorizzazione per copiare una distribuzione esistente e creare una nuova distribuzione Web Scrittura

distribution*

cloudfront:CopyDistribution

cloudfront:CreateDistribution

cloudfront:GetDistribution

CreateAnycastIpList Concede l'autorizzazione a creare un elenco di IP statici Anycast Scrittura

anycast-ip-list*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCachePolicy Concede l'autorizzazione ad aggiungere una nuova politica di cache a CloudFront Scrittura

cache-policy*

CreateCloudFrontOriginAccessIdentity Concede l'autorizzazione a creare una nuova identità di accesso all' CloudFront origine Scrittura

origin-access-identity*

CreateContinuousDeploymentPolicy Concede l'autorizzazione ad aggiungere una nuova politica di distribuzione continua a CloudFront Scrittura

continuous-deployment-policy*

CreateDistribution Concede l'autorizzazione per creare una nuova distribuzione Web Scrittura

distribution*

CreateFieldLevelEncryptionConfig Concede l'autorizzazione per creare una nuova configurazione di crittografia a livello di campo Write
CreateFieldLevelEncryptionProfile Concede l'autorizzazione per creare un profilo di crittografia a livello di campo Scrittura
CreateFunction Concede l'autorizzazione a creare una funzione CloudFront Scrittura

function*

CreateInvalidation Concede l'autorizzazione per creare una nuova richiesta batch di invalidamento Scrittura

distribution*

CreateKeyGroup Concede il permesso di aggiungere un nuovo gruppo di chiavi a CloudFront Scrittura
CreateKeyValueStore Concede il permesso di creare un CloudFront KeyValueStore Scrittura

key-value-store*

CreateMonitoringSubscription Concede l'autorizzazione ad abilitare CloudWatch metriche aggiuntive per la distribuzione specificata. CloudFront I parametri aggiuntivi comportano un costo aggiuntivo Scrittura
CreateOriginAccessControl Concede le autorizzazioni per creare un nuovo controllo accessi di origine Scrittura
CreateOriginRequestPolicy Concede l'autorizzazione ad aggiungere una nuova politica di richiesta di origine a CloudFront Scrittura

origin-request-policy*

CreatePublicKey Concede il permesso di aggiungere una nuova chiave pubblica a CloudFront Scrittura
CreateRealtimeLogConfig Concede l'autorizzazione per creare una configurazione di log in tempo reale Scrittura

realtime-log-config*

CreateResponseHeadersPolicy Concede l'autorizzazione ad aggiungere una nuova politica di intestazioni di risposta a CloudFront Scrittura

response-headers-policy*

CreateSavingsPlan [solo autorizzazione] Concede l'autorizzazione per creare un Savings Plan Scrittura
CreateStreamingDistribution Concede il permesso di creare una nuova distribuzione RTMP Scrittura

streaming-distribution*

CreateStreamingDistributionWithTags Concede il permesso di creare una nuova RTMP distribuzione con tag Scrittura

streaming-distribution*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateVpcOrigin Concede il permesso di creare un'origine VPC Scrittura

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAnycastIpList Concede l'autorizzazione a eliminare un elenco di IP statici Anycast Scrittura

anycast-ip-list*

DeleteCachePolicy Concede l'autorizzazione per eliminare una policy della cache Scrittura

cache-policy*

DeleteCloudFrontOriginAccessIdentity Concede l'autorizzazione a eliminare un'identità di accesso di origine CloudFront Scrittura

origin-access-identity*

DeleteContinuousDeploymentPolicy Concede l'autorizzazione per eliminare una policy di implementazione continua Scrittura

continuous-deployment-policy*

DeleteDistribution Concede l'autorizzazione per eliminare una distribuzione Web Write

distribution*

DeleteFieldLevelEncryptionConfig Concede l'autorizzazione per eliminare una configurazione di crittografia a livello di campo Write

field-level-encryption-config*

DeleteFieldLevelEncryptionProfile Concede l'autorizzazione per eliminare un profilo di crittografia a livello di campo Scrittura

field-level-encryption-profile*

DeleteFunction Concede il permesso di eliminare una funzione CloudFront Scrittura

function*

DeleteKeyGroup Concede l'autorizzazione per eliminare un gruppo di chiavi Scrittura
DeleteKeyValueStore Concede il permesso di eliminare un CloudFront KeyValueStore Scrittura

key-value-store*

DeleteMonitoringSubscription Concede l'autorizzazione a disabilitare CloudWatch metriche aggiuntive per la distribuzione specificata CloudFront Scrittura
DeleteOriginAccessControl Concede l'autorizzazione per eliminare un controllo accessi di origine Scrittura

origin-access-control*

DeleteOriginRequestPolicy Concede l'autorizzazione per eliminare una policy di richiesta origine Scrittura

origin-request-policy*

DeletePublicKey Concede l'autorizzazione a eliminare una chiave pubblica da CloudFront Scrittura
DeleteRealtimeLogConfig Concede l'autorizzazione per eliminare una configurazione di log in tempo reale Scrittura

realtime-log-config*

DeleteResponseHeadersPolicy Concede l'autorizzazione per eliminare una policy per le intestazioni di risposta Scrittura

response-headers-policy*

DeleteStreamingDistribution Concede il permesso di eliminare una distribuzione RTMP Scrittura

streaming-distribution*

DeleteVpcOrigin Concede il permesso di eliminare un'origine VPC Scrittura

vpcorigin*

DescribeFunction Concede il permesso di ottenere un CloudFront riepilogo delle funzioni Lettura

function*

DescribeKeyValueStore Concede il permesso di ottenere un riepilogo CloudFront KeyValueStore Lettura

key-value-store*

GetAnycastIpList Concede l'autorizzazione a ottenere un elenco di IP statici Anycast Lettura

anycast-ip-list*

GetCachePolicy Concede l'autorizzazione per ottenere la policy della cache Read

cache-policy*

GetCachePolicyConfig Concede l'autorizzazione per ottenere la configurazione della policy della cache Lettura

cache-policy*

GetCloudFrontOriginAccessIdentity Concede l'autorizzazione a ottenere le informazioni su un' CloudFront identità di accesso all'origine Lettura

origin-access-identity*

GetCloudFrontOriginAccessIdentityConfig Concede l'autorizzazione per ottenere le informazioni di configurazione su un'identità di accesso origine Cloudfront Lettura

origin-access-identity*

GetContinuousDeploymentPolicy Concede l'autorizzazione per ottenere una policy di implementazione continua Lettura

continuous-deployment-policy*

GetContinuousDeploymentPolicyConfig Concede l'autorizzazione per ottenere la configurazione della policy di implementazione continua Lettura

continuous-deployment-policy*

GetDistribution Concede l'autorizzazione per ottenere informazioni su una distribuzione Web Read

distribution*

GetDistributionConfig Concede l'autorizzazione per ottenere le informazioni di configurazione relative a una distribuzione Read

distribution*

GetFieldLevelEncryption Concede l'autorizzazione per ottenere le informazioni di configurazione di crittografia a livello di campo Read

field-level-encryption-config*

GetFieldLevelEncryptionConfig Concede l'autorizzazione per ottenere le informazioni di configurazione di crittografia a livello di campo Read

field-level-encryption-config*

GetFieldLevelEncryptionProfile Concede l'autorizzazione per ottenere le informazioni di configurazione di crittografia a livello di campo Read

field-level-encryption-profile*

GetFieldLevelEncryptionProfileConfig Concede l'autorizzazione per ottenere le informazioni di configurazione del profilo di crittografia a livello di campo Lettura

field-level-encryption-profile*

GetFunction Concede il permesso di ottenere il codice di una CloudFront funzione Lettura

function*

GetInvalidation Concede l'autorizzazione per ottenere informazioni su un invalidamento Read

distribution*

GetKeyGroup Concede l'autorizzazione per ottenere un gruppo di chiavi Read
GetKeyGroupConfig Concede l'autorizzazione per ottenere la configurazione di un gruppo di chiavi Lettura
GetMonitoringSubscription Concede l'autorizzazione a ottenere informazioni sull'abilitazione di CloudWatch metriche aggiuntive per la distribuzione specificata CloudFront Lettura
GetOriginAccessControl Concede l'autorizzazione per ottenere il controllo accessi di origine Lettura

origin-access-control*

GetOriginAccessControlConfig Concede l'autorizzazione per ottenere la configurazione del controllo accessi di origine Lettura

origin-access-control*

GetOriginRequestPolicy Concede l'autorizzazione per ottenere la policy di richiesta origine Read

origin-request-policy*

GetOriginRequestPolicyConfig Concede l'autorizzazione per ottenere la configurazione della policy di richiesta origine Read

origin-request-policy*

GetPublicKey Concede l'autorizzazione per ottenere le informazioni sulla configurazione della chiave pubblica Read
GetPublicKeyConfig Concede l'autorizzazione per ottenere informazioni sulla configurazione della chiave pubblica Read
GetRealtimeLogConfig Concede l'autorizzazione per ottenere una configurazione di log in tempo reale Lettura

realtime-log-config*

GetResponseHeadersPolicy Concede l'autorizzazione per ottenere la policy per le intestazioni di risposta Lettura

response-headers-policy*

GetResponseHeadersPolicyConfig Concede l'autorizzazione per ottenere la configurazione della policy per le intestazioni di risposta Lettura

response-headers-policy*

GetSavingsPlan [solo autorizzazione] Concede l'autorizzazione per ottenere un Savings Plan Lettura
GetStreamingDistribution Concede il permesso di ottenere le informazioni su una distribuzione RTMP Lettura

streaming-distribution*

GetStreamingDistributionConfig Concede l'autorizzazione per ottenere le informazioni di configurazione relative a una distribuzione in streaming. Lettura

streaming-distribution*

GetVpcOrigin Concede il permesso di ottenere le informazioni su un'origine VPC Lettura

vpcorigin*

ListAnycastIpLists Concede l'autorizzazione a elencare gli elenchi di IP statici Anycast Elenco
ListCachePolicies Concede l'autorizzazione a elencare tutte le politiche di cache che sono state create per questo account CloudFront Elenco
ListCloudFrontOriginAccessIdentities Concede l'autorizzazione a elencare le identità di accesso di CloudFront origine Elenco
ListConflictingAliases Concede l'autorizzazione a elencare tutti gli alias che sono in conflitto con l'alias specificato in CloudFront Elenco

distribution*

ListContinuousDeploymentPolicies Concede l'autorizzazione per elencare tutte le policy di implementazione continua nell'account Elenco
ListDistributions Concede l'autorizzazione a elencare le distribuzioni associate al tuo Account AWS Elenco
ListDistributionsByAnycastIpListId Concede l'autorizzazione a elencare le distribuzioni nel tuo account associate a quanto specificato AnycastIpListId Elenco
ListDistributionsByCachePolicyId Concede l'autorizzazione a elencare IDs la distribuzione per le distribuzioni che hanno un comportamento di cache associato alla politica di cache specificata Elenco
ListDistributionsByKeyGroup Concede l'autorizzazione alla distribuzione degli elenchi IDs per le distribuzioni che hanno un comportamento nella cache associato al gruppo di chiavi specificato Elenco
ListDistributionsByLambdaFunction [solo autorizzazione] Concede l'autorizzazione per elencare tutte le distribuzioni associate a una funzione Lambda Elenco
ListDistributionsByOriginRequestPolicyId Concede l'autorizzazione alla distribuzione degli elenchi IDs per le distribuzioni che hanno un comportamento nella cache associato alla politica di richiesta di origine specificata Elenco
ListDistributionsByRealtimeLogConfig Concede l'autorizzazione per ottenere un elenco di distribuzioni con un comportamento di cache associato alla configurazione di log in tempo reale specificata Elenco
ListDistributionsByResponseHeadersPolicyId Concede l'autorizzazione alla distribuzione degli elenchi IDs per le distribuzioni che hanno un comportamento nella cache associato alla politica delle intestazioni di risposta specificata Elenco
ListDistributionsByVpcOriginId Concede il permesso di elencare le IDs distribuzioni associate all'origine specificata VPC Elenco
ListDistributionsByWebACLId Concede l'autorizzazione a elencare le distribuzioni associate a un determinato sito web Account AWS AWS WAF ACL Elenco
ListFieldLevelEncryptionConfigs Concede l'autorizzazione a elencare tutte le configurazioni di crittografia a livello di campo che sono state create per questo account CloudFront Elenco
ListFieldLevelEncryptionProfiles Concede l'autorizzazione a elencare tutti i profili di crittografia a livello di campo che sono stati creati per questo account CloudFront Elenco
ListFunctions Concede il permesso di ottenere un elenco di funzioni CloudFront Elenco
ListInvalidations Concede l'autorizzazione per elencare i batch di invalidamento Elenco

distribution*

ListKeyGroups Concede l'autorizzazione a elencare tutti i gruppi chiave che sono stati creati CloudFront per questo account Elenco
ListKeyValueStores Concede il permesso di ottenere un elenco di CloudFront KeyValueStores Elenco
ListOriginAccessControls Concede l'autorizzazione per elencare tutti i controlli accessi di origine nell'account Elenco
ListOriginRequestPolicies Concede l'autorizzazione a elencare tutte le politiche di richiesta di origine che sono state create CloudFront per questo account Elenco
ListPublicKeys Concede l'autorizzazione a elencare tutte le chiavi pubbliche che sono state aggiunte CloudFront per questo account Elenco
ListRateCards [solo autorizzazione] Concede l'autorizzazione a elencare le schede CloudFront tariffarie relative all'account Elenco
ListRealtimeLogConfigs Concede l'autorizzazione per ottenere un elenco di configurazioni di log in tempo reale Elenco
ListResponseHeadersPolicies Concede l'autorizzazione a elencare tutte le politiche relative alle intestazioni di risposta che sono state create per questo account CloudFront Elenco
ListSavingsPlans [solo autorizzazione] Concede l'autorizzazione per elencare i Savings Plans nell'account Elenco
ListStreamingDistributions Concede l'autorizzazione a elencare le tue distribuzioni RTMP Elenco
ListTagsForResource Concede l'autorizzazione a elencare i tag di una risorsa CloudFront Lettura

anycast-ip-list

distribution

vpcorigin

ListUsages [solo autorizzazione] Concede l'autorizzazione all'utilizzo delle liste CloudFront Elenco
ListVpcOrigins Concede l'autorizzazione a elencare le origini VPC Elenco
PublishFunction Concede il permesso di pubblicare una funzione CloudFront Scrittura

function*

TagResource Concede il permesso di aggiungere tag a una risorsa CloudFront Assegnazione di tag

anycast-ip-list

distribution

streaming-distribution

vpcorigin

aws:RequestTag/${TagKey}

aws:TagKeys

TestFunction Concede il permesso di testare una funzione CloudFront Scrittura

function*

UntagResource Concede l'autorizzazione a rimuovere i tag da una risorsa CloudFront Assegnazione di tag

anycast-ip-list

distribution

streaming-distribution

vpcorigin

aws:TagKeys

UpdateCachePolicy Concede l'autorizzazione per aggiornare una policy della cache Scrittura

cache-policy*

UpdateCloudFrontOriginAccessIdentity Concede l'autorizzazione a impostare la configurazione per un'identità di accesso di CloudFront origine Scrittura

origin-access-identity*

UpdateContinuousDeploymentPolicy Concede l'autorizzazione per aggiornare una policy di implementazione continua Scrittura

continuous-deployment-policy*

UpdateDistribution Concede l'autorizzazione per aggiornare la configurazione per una distribuzione Web Scrittura

distribution*

UpdateDistributionWithStagingConfig Concede l'autorizzazione a copiare la configurazione da una distribuzione web temporanea alla distribuzione web principale corrispondente Scrittura

distribution*

UpdateFieldLevelEncryptionConfig Concede l'autorizzazione per aggiornare la configurazione di crittografia a livello di campo Write
UpdateFieldLevelEncryptionProfile Concede l'autorizzazione per aggiornare un profilo di crittografia a livello di campo Scrittura

field-level-encryption-profile*

UpdateFunction Concede l'autorizzazione ad aggiornare una funzione CloudFront Scrittura

function*

UpdateKeyGroup Concede l'autorizzazione per aggiornare un gruppo di chiavi Scrittura
UpdateKeyValueStore Concede il permesso di aggiornare un CloudFront KeyValueStore Scrittura

key-value-store*

UpdateOriginAccessControl Concede l'autorizzazione per aggiornare un controllo accessi di origine Scrittura

origin-access-control*

UpdateOriginRequestPolicy Concede l'autorizzazione per aggiornare una policy di richiesta origine Write

origin-request-policy*

UpdatePublicKey Concede l'autorizzazione per aggiornare le informazioni sulla chiave pubblica Write
UpdateRealtimeLogConfig Concede l'autorizzazione per aggiornare una configurazione di log in tempo reale Scrittura

realtime-log-config*

UpdateResponseHeadersPolicy Concede l'autorizzazione per aggiornare una policy per le intestazioni di risposta Scrittura

response-headers-policy*

UpdateSavingsPlan [solo autorizzazione] Concede l'autorizzazione per aggiornare un Savings Plan Scrittura
UpdateStreamingDistribution Concede il permesso di aggiornare la configurazione per una distribuzione RTMP Scrittura

streaming-distribution*

UpdateVpcOrigin Concede l'autorizzazione ad aggiornare un'origine VPC Scrittura

vpcorigin*

Tipi di risorse definiti da Amazon CloudFront

I seguenti tipi di risorse sono definiti da questo servizio e possono essere utilizzati nell'Resourceelemento delle dichiarazioni sulla politica di IAM autorizzazione. Ogni operazione nella Tabella delle operazioni identifica i tipi di risorse che possono essere specificati con tale operazione. Un tipo di risorsa può anche definire quali chiavi di condizione puoi includere in una policy. Queste chiavi vengono visualizzate nell'ultima colonna della tabella Tipi di risorsa. Per dettagli sulle colonne nella tabella seguente, consulta Tabella dei tipi di risorsa.

Tipi di risorsa ARN Chiavi di condizione
distribution arn:${Partition}:cloudfront::${Account}:distribution/${DistributionId}

aws:ResourceTag/${TagKey}

streaming-distribution arn:${Partition}:cloudfront::${Account}:streaming-distribution/${DistributionId}

aws:ResourceTag/${TagKey}

origin-access-identity arn:${Partition}:cloudfront::${Account}:origin-access-identity/${Id}
field-level-encryption-config arn:${Partition}:cloudfront::${Account}:field-level-encryption-config/${Id}
field-level-encryption-profile arn:${Partition}:cloudfront::${Account}:field-level-encryption-profile/${Id}
cache-policy arn:${Partition}:cloudfront::${Account}:cache-policy/${Id}
origin-request-policy arn:${Partition}:cloudfront::${Account}:origin-request-policy/${Id}
realtime-log-config arn:${Partition}:cloudfront::${Account}:realtime-log-config/${Name}
function arn:${Partition}:cloudfront::${Account}:function/${Name}
key-value-store arn:${Partition}:cloudfront::${Account}:key-value-store/${Name}
response-headers-policy arn:${Partition}:cloudfront::${Account}:response-headers-policy/${Id}
origin-access-control arn:${Partition}:cloudfront::${Account}:origin-access-control/${Id}
continuous-deployment-policy arn:${Partition}:cloudfront::${Account}:continuous-deployment-policy/${Id}
anycast-ip-list arn:${Partition}:cloudfront::${Account}:anycast-ip-list/${Id}

aws:ResourceTag/${TagKey}

vpcorigin arn:${Partition}:cloudfront::${Account}:vpcorigin/${Id}

aws:ResourceTag/${TagKey}

Chiavi di condizione per Amazon CloudFront

Amazon CloudFront definisce le seguenti chiavi di condizione che possono essere utilizzate nell'Conditionelemento di una IAM policy. Puoi utilizzare queste chiavi per perfezionare ulteriormente le condizioni in base alle quali si applica l'istruzione di policy. Per dettagli sulle colonne nella tabella seguente, consulta Tabella delle chiavi di condizione.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta Chiavi di condizione globali disponibili.

Chiavi di condizione Descrizione Tipo
aws:RequestTag/${TagKey} Filtra l'accesso in base alla presenza di coppie chiave-valore di tag nella richiesta Stringa
aws:ResourceTag/${TagKey} Filtra le operazioni in base alle coppie chiave-valore di tag collegate alla risorsa Stringa
aws:TagKeys Filtra l'accesso in base alla presenza di chiavi di tag nella richiesta ArrayOfString