Amazon CloudFront の AWS 管理ポリシー - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorポリシーの更新

Amazon CloudFront の AWS 管理ポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。ユーザーに必要なアクセス許可のみを提供する IAM カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS 管理ポリシーのアクセス許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられたり、新しいアクセス許可が使用可能になったりすると、各サービスで AWS 管理ポリシーが更新される可能性が最も高くなります。各サービスでは、AWS 管理ポリシーからアクセス許可が削除されないため、ポリシーの更新によって既存のアクセス許可が破棄されることはありません。

さらに、AWS は、複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は、新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ関数ポリシーのリストと説明については、IAM ユーザーガイドの「AWS ジョブ関数のマネージドポリシー」を参照してください。

AWS 管理ポリシー: CloudFrontReadOnlyAccess

IAM ID に CloudFrontReadOnlyAccess ポリシーをアタッチできます。このポリシーでは CloudFront リソースへの読み取り専用アクセス許可が許可されます。また、CloudFront に関連し、CloudFront コンソールに表示される他の AWS サービスのリソースへの読み取り専用アクセスも許可されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • cloudfront:Describe* - プリンシパルが CloudFront リソースに関するメタデータに関する情報を取得できるようにします。

  • cloudfront:Get* - プリンシパルが CloudFront リソースの詳細情報と設定を取得できるようにします。

  • cloudfront:List* - プリンシパルが CloudFront リソースのリストを取得できるようにします。

  • cloudfront-keyvaluestore:Describe* - プリンシパルに、キー値ストアに関する情報の取得を許可します。

  • cloudfront-keyvaluestore:Get* - プリンシパルに、キー値ストアの詳細情報や設定の取得を許可します。

  • cloudfront-keyvaluestore:List* - プリンシパルに、キー値ストアのリストの取得を許可します。

  • acm:ListCertificates - プリンシパルが ACM 証明書のリストを取得できるようにします。

  • iam:ListServerCertificates - プリンシパルが IAM に格納されるサーバー証明書のリストを許可できるようにします。

  • route53:List* - プリンシパルが Route 53 リソースのリストを取得できるようにします。

  • waf:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

  • waf:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

  • wafv2:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

  • wafv2:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS 管理ポリシー: CloudFrontFullAccess

IAM ID に CloudFrontFullAccess ポリシーをアタッチできます。このポリシーでは、CloudFront リソースに対する管理アクセス許可が許可されます。また、CloudFront に関連し、CloudFront コンソールに表示される他の AWS サービスのリソースへの読み取り専用アクセスも許可されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • s3:ListAllMyBuckets - プリンシパルが、すべての Amazon S3 バケットのリストを取得できるようにします。

  • acm:ListCertificates - プリンシパルが ACM 証明書のリストを取得できるようにします。

  • cloudfront:* - プリンシパルが、すべての CloudFront リソースに対してすべてのアクションを実行できるようにします。

  • cloudfront-keyvaluestore:* - プリンシパルに、キー値ストアに対するすべてのアクションの実行を許可します。

  • iam:ListServerCertificates - プリンシパルが IAM に格納されるサーバー証明書のリストを許可できるようにします。

  • waf:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

  • waf:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

  • wafv2:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

  • wafv2:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

  • kinesis:ListStreams - プリンシパルが Amazon Kinesis ストリームのリストを取得できるようにします。

  • kinesis:DescribeStream - プリンシパルが Kinesis ストリームに関する詳細情報を取得できるようにします。

  • iam:ListRoles - プリンシパルが IAM のロールのリストを取得できるようにします。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}

AWS 管理ポリシー: AWSCloudFrontLogger

IAM ID に AWSCloudFrontLogger ポリシーをアタッチすることはできません。このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、サービスにリンクされたロールにアタッチされます。詳細については、「Lambda@Edge 用のサービスにリンクされたロール」を参照してください。

このポリシーにより、CloudFront が Amazon CloudWatch にログファイルをプッシュできるようになります。このポリシーに含まれるアクセス許可の詳細については、「CloudFront ロガー用のサービスにリンクされたロールのアクセス許可」を参照してください。

AWS 管理ポリシー: AWSLambdaReplicator

IAM ID に AWSLambdaReplicator ポリシーをアタッチすることはできません。このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、サービスにリンクされたロールにアタッチされます。詳細については、「Lambda@Edge 用のサービスにリンクされたロール」を参照してください。

このポリシーにより、CloudFront が AWS Lambda の関数を作成、削除、無効化して AWS リージョン に Lambda@Edge 関数をレプリケートできるようになります。このポリシーに含まれるアクセス許可の詳細については、「Lambda Replicator 用のサービスにリンクされたロールのアクセス許可」を参照してください。

CloudFront による AWS 管理ポリシーの更新

CloudFront の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動通知については、CloudFront ドキュメントの履歴ページの RSS フィードを購読してください。

変更 説明 日付

CloudFrontReadOnlyAccessCloudFrontFullAccess - 2 つの既存のポリシーに対する更新

CloudFront はキー値ストアに対する新しいアクセス許可を追加しました。

新しいアクセス許可により、ユーザーはキー値ストアに関する情報を取得し、キー値ストアにアクションを実行できます。

 2023 年 12 月 19 日

CloudFrontReadOnlyAccess – 既存ポリシーへの更新

CloudFront に CloudFront Functions を記述するためのアクセス許可が新たに追加されました。

このアクセス許可により、ユーザー、グループ、またはロールは関数に関する情報とメタデータを読み取ることができます。ただし、関数のコードを読み取ることはできません。

 2021 年 9 月 8 日

CloudFront が変更の追跡を開始しました

CloudFront が AWS 管理ポリシーの変更の追跡を開始しました。

 2021 年 9 月 8 日