メニュー
Amazon CloudFront
開発者ガイド (API Version 2016-09-29)

CloudFront API のアクセス権限: アクション、リソース、条件リファレンス

アクセスコントロール をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下のをリファレンスとして使用できます。この表リストは、各 CloudFront API オペレーション、アクションを実行するためのアクセス権限を付与できる対応するアクション、およびアクセス権限を付与できる AWS リソースを示しています。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。

CloudFront ポリシーで AWS 全体の条件キーを使用して、条件を表現することができます。AWS 全体を対象とするすべてのキーのリストについては、IAM ユーザーガイド の「利用可能なキー」を参照してください。

ウェブディストリビューションでアクションに必要なアクセス権限

CreateDistribution

必要なアクセス権限 (API アクション):

  • cloudfront:CreateDistribution

  • acm:ListCertificates (CloudFront コンソールのみ)

  • アクセスログを保存するように CloudFront を設定する場合のみ:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース:

  • CloudFront: *

  • ACM: *

  • Amazon S3: アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

CreateDistributionWithTags

必要なアクセス権限 (API アクション):

  • cloudfront:CreateDistributioncloudfront:TagResource

  • acm:ListCertificates (CloudFront コンソールのみ)

  • アクセスログを保存するように CloudFront を設定する場合のみ:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース:

  • CloudFront: *

  • ACM: *

  • Amazon S3: アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

GetDistribution

必要なアクセス許可 (API アクション:) cloudfront:GetDistributionacm:ListCertificates (CloudFront コンソールのみ)

リソース: *

GetDistributionConfig

必要なアクセス許可 (API アクション:) cloudfront:GetDistributionConfigacm:ListCertificates (CloudFront コンソールのみ)

リソース: *

ListDistributions

必要なアクセス権限 (API アクション): cloudfront:ListDistributions

リソース: *

UpdateDistribution

必要なアクセス権限 (API アクション):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates (CloudFront コンソールのみ)

  • アクセスログを保存するように CloudFront を設定する場合のみ:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース:

  • CloudFront: *

  • ACM: *

  • Amazon S3: アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

DeleteDistribution

必要なアクセス権限 (API アクション): cloudfront:DeleteDistribution

リソース: *

RTMP ディストリビューションでアクションに必要なアクセス権限

CreateStreamingDistribution

必要なアクセス権限 (API アクション): cloudfront:CreateStreamingDistribution

アクセスログを保存するように CloudFront を設定する場合のみ:

  • s3:GetBucketAcl

  • s3:PutBucketAcl

  • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース: *

アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

CreateStreamingDistributionWithTags

必要なアクセス権限 (API アクション): cloudfront:CreateStreamingDistribution, cloudfront:TagResource

アクセスログを保存するように CloudFront を設定する場合のみ:

  • s3:GetBucketAcl

  • s3:PutBucketAcl

  • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース: *

アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

GetStreamingDistribution

必要なアクセス権限 (API アクション): cloudfront:GetStreamingDistribution

リソース: *

GetStreamingDistributionConfig

必要なアクセス権限 (API アクション): cloudfront:GetStreamingDistributionConfig

リソース: *

ListStreamingDistributions

必要なアクセス権限 (API アクション): cloudfront:ListStreamingDistributions

リソース: *

UpdateStreamingDistribution

必要なアクセス権限 (API アクション): cloudfront:UpdateStreamingDistribution

アクセスログを保存するように CloudFront を設定する場合のみ:

  • s3:GetBucketAcl

  • s3:PutBucketAcl

  • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース: *

アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

DeleteStreamingDistribution

必要なアクセス権限 (API アクション): cloudfront:DeleteDistribution

リソース: *

無効化でアクションに必要なアクセス権限

CreateInvalidation

必要なアクセス権限 (API アクション): cloudfront:CreateInvalidation

リソース: *

GetInvalidation

必要なアクセス権限 (API アクション): cloudfront:GetInvalidation

リソース: *

ListInvalidations

必要なアクセス権限 (API アクション): cloudfront:ListInvalidations

リソース: *

オリジンアクセスアイデンティティに必要なアクセス権限

CreateCloudFrontOriginAccessIdentity

必要なアクセス権限 (API アクション): cloudfront:CreateCloudFrontOriginAccessIdentity

リソース: *

GetCloudFrontOriginAccessIdentity

必要なアクセス権限 (API アクション): cloudfront:GetCloudFrontOriginAccessIdentity

リソース: *

GetCloudFrontOriginAccessIdentityConfig

必要なアクセス権限 (API アクション): cloudfront:GetCloudFrontOriginAccessIdentityConfig

リソース: *

ListCloudFrontOriginAccessIdentities

必要なアクセス権限 (API アクション): cloudfront:ListDistributions

リソース: *

UpdateCloudFrontOriginAccessIdentity

必要なアクセス権限 (API アクション): cloudfront:UpdateCloudFrontOriginAccessIdentity

リソース: *

DeleteCloudFrontOriginAccessIdentity

必要なアクセス権限 (API アクション): cloudfront:DeleteCloudFrontOriginAccessIdentity

リソース: *

Lambda@Edge に関連する CloudFront アクションに必要なアクセス権限

Lambda@Edge を使用するには、Lambda 関数のトリガーを含むディストリビューションを作成したり更新したりできるように、次の CloudFront アクセス権限が必要です。必要な Lambda アクセス権限の詳細については、『AWS Lambda Developer Guide』の「AWS Lambda@Edge」の章にある「Setting IAM Permissions」を参照してください。

CreateDistribution

必要なアクセス権限 (API アクション):

  • cloudfront:CreateDistribution

  • acm:ListCertificates (CloudFront コンソールのみ)

  • アクセスログを保存するように CloudFront を設定する場合のみ:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース:

  • CloudFront: *

  • ACM: *

  • Amazon S3: アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

CreateDistributionWithTags

必要なアクセス権限 (API アクション):

  • cloudfront:CreateDistributioncloudfront:TagResource

  • acm:ListCertificates (CloudFront コンソールのみ)

  • アクセスログを保存するように CloudFront を設定する場合のみ:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース:

  • CloudFront: *

  • ACM: *

  • Amazon S3: アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

UpdateDistribution

必要なアクセス権限 (API アクション):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates (CloudFront コンソールのみ)

  • アクセスログを保存するように CloudFront を設定する場合のみ:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • バケットの S3 ACL は FULL_CONTROL を付与する必要があります

リソース:

  • CloudFront: *

  • ACM: *

  • Amazon S3: アクセスログを保存するように CloudFront を設定する場合、指定したバケットへのアクセスをオプションで制限できます。

タグに対するアクションで必要なアクセス権限

TagResource

必要なアクセス権限 (API アクション): cloudfront:TagResource

リソース: *

UntagResource

必要なアクセス権限 (API アクション): cloudfront:UntagResource

リソース: *

ListTagsForResource

必要なアクセス権限 (API アクション): cloudfront:ListTagsForResource

リソース: *