AWS Amazon の マネージドポリシー CloudFront

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。ユーザーに必要なアクセス許可のみを提供する IAM カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS のサービスは、AWS マネージドポリシーを維持および更新します。AWS 管理ポリシーのアクセス許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられたり、新しいアクセス許可が使用可能になったりすると、各サービスで AWS 管理ポリシーが更新される可能性が最も高くなります。各サービスでは、AWS 管理ポリシーからアクセス許可が削除されないため、ポリシーの更新によって既存のアクセス許可が破棄されることはありません。

さらに、AWS では、複数のサービスにまたがるジョブ機能のためのマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。あるサービスで新しい機能を立ち上げる場合は、AWS は、追加された演算とリソースに対し、読み込み専用の権限を追加します。ジョブ機能のポリシー一覧と説明については、IAM ユーザーガイドの AWS ジョブ機能の管理ポリシーを参照してください。

AWS マネージドポリシー: CloudFrontReadOnlyAccess

CloudFrontReadOnlyAccess ポリシーは IAM ID にアタッチできます。このポリシーは、 CloudFront リソースへの読み取り専用アクセス許可を付与します。また、 に関連する他のAWSサービスリソース CloudFront や、 CloudFront コンソールに表示されるサービスリソースへの読み取り専用アクセス許可も付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• cloudfront:Describe* — プリンシパルが CloudFront リソースに関するメタデータに関する情報を取得できるようにします。

• cloudfront:Get* — プリンシパルが CloudFront リソースの詳細情報と設定を取得できるようにします。

• cloudfront:List* — プリンシパルがリソースのリスト CloudFrontを取得できるようにします。

• cloudfront-keyvaluestore:Describe* - プリンシパルがキー値ストアに関する情報を取得できるようにします。

• cloudfront-keyvaluestore:Get* - プリンシパルがキー値ストアの詳細情報と設定を取得できるようにします。

• cloudfront-keyvaluestore:List* - プリンシパルがキー値ストアのリストを取得できるようにします。

• acm:ListCertificates - プリンシパルが ACM 証明書のリストを取得できるようにします。

• iam:ListServerCertificates - プリンシパルが IAM に格納されるサーバー証明書のリストを許可できるようにします。

• route53:List* - プリンシパルが Route 53 リソースのリストを取得できるようにします。

• waf:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

• waf:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

• wafv2:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

• wafv2:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS マネージドポリシー: CloudFrontFullAccess

CloudFrontFullAccess ポリシーは IAM ID にアタッチできます。このポリシーは、 CloudFront リソースへの管理アクセス許可を付与します。また、 に関連する他のAWSサービスリソース CloudFront や、 CloudFront コンソールに表示されるサービスリソースへの読み取り専用アクセス許可も付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• s3:ListAllMyBuckets - プリンシパルが、すべての Amazon S3 バケットのリストを取得できるようにします。

• acm:ListCertificates - プリンシパルが ACM 証明書のリストを取得できるようにします。

• cloudfront:* — プリンシパルがすべてのリソースに対してすべての CloudFrontアクションを実行できるようにします。

• cloudfront-keyvaluestore:* - プリンシパルがキー値ストアですべてのアクションを実行できるようにします。

• iam:ListServerCertificates - プリンシパルが IAM に格納されるサーバー証明書のリストを許可できるようにします。

• waf:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

• waf:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

• wafv2:ListWebACLs - プリンシパルが AWS WAF のウェブ ACL のリストを取得できるようにします。

• wafv2:GetWebACL - プリンシパルが AWS WAF のウェブ ACL に関する詳細情報を取得できるようにします。

• kinesis:ListStreams - プリンシパルが Amazon Kinesis ストリームのリストを取得できるようにします。

• kinesis:DescribeStream - プリンシパルが Kinesis ストリームに関する詳細情報を取得できるようにします。

• iam:ListRoles - プリンシパルが IAM のロールのリストを取得できるようにします。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}

AWS マネージドポリシー: AWSCloudFrontLogger

IAM ID にAWSCloudFrontLoggerポリシーをアタッチすることはできません。このポリシーは、 がユーザーに代わって CloudFront アクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Lambda@Edge 用のサービスにリンクされたロール」を参照してください。

このポリシーにより、 はログファイル CloudFront を Amazon にプッシュできます CloudWatch。このポリシーに含まれるアクセス許可の詳細については、「ロガーのサービス CloudFrontにリンクされたロールのアクセス許可」を参照してください。

AWS マネージドポリシー: AWSLambdaReplicator

IAM ID にAWSLambdaReplicatorポリシーをアタッチすることはできません。このポリシーは、 がユーザーに代わって CloudFront アクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Lambda@Edge 用のサービスにリンクされたロール」を参照してください。

このポリシーにより、 で関数 CloudFront を作成、削除、および無効にAWS Lambdaして、Lambda@Edge 関数を にレプリケートできますAWS リージョン。このポリシーに含まれるアクセス許可の詳細については、「Lambda Replicator 用のサービスにリンクされたロールのアクセス許可」を参照してください。

AWS マネージドポリシーに関する CloudFront の更新

このサービスがこれらの変更の追跡を開始した CloudFront 以降の、 の AWSマネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、 CloudFront ドキュメント履歴ページの RSS フィードを購読してください。

変更	説明	日付
CloudFrontReadOnlyAccess と CloudFrontFullAccess - 2 つの既存のポリシーに対する更新	CloudFront は、キー値ストアの新しいアクセス許可を追加しました。 新しいアクセス許可により、ユーザーはキー値ストアに関する情報を取得し、アクションを実行できます。	2023 年 12 月 19 日
CloudFrontReadOnlyAccess – 既存ポリシーへの更新	CloudFront は、 CloudFront 関数を記述する新しいアクセス許可を追加しました。 このアクセス許可により、ユーザー、グループ、またはロールは関数に関する情報とメタデータを読み取ることができますが、関数のコードは読み取れません。	2021 年 9 月 8 日
CloudFront が変更の追跡を開始	CloudFront が AWSマネージドポリシーの変更の追跡を開始しました。	2021 年 9 月 8 日