Amazon CloudFront のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudFront のアクション、リソース、および条件キー

Amazon CloudFront (サービスプレフィックス: cloudfront) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon CloudFront で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AllowVendedLogDeliveryForResource[アクセス許可のみ] ディストリビューション用に販売されたログ配信を設定するアクセス許可を付与します 権限の管理

distribution

AssociateAlias エイリアスを a CloudFront ディストリビューションに関連付けるアクセス許可を付与します 書き込み

distribution*

CopyDistribution 既存のディストリビューションをコピーしたり、新しいウェブディストリビューションを作成したりするための許可を付与します 書き込み

distribution*

cloudfront:CopyDistribution

cloudfront:CreateDistribution

cloudfront:GetDistribution

CreateAnycastIpList Anycast 静的 IP リストを作成する許可を付与 書き込み

anycast-ip-list*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCachePolicy 新しいキャッシュポリシーを CloudFront に追加する許可を付与 書き込み

cache-policy*

CreateCloudFrontOriginAccessIdentity new CloudFront オリジンアクセスアイデンティティを作成する許可を付与 書き込み

origin-access-identity*

CreateContinuousDeploymentPolicy 新しい継続的デプロイポリシーを CloudFront に追加する許可を付与 書き込み

continuous-deployment-policy*

CreateDistribution 新しいウェブディストリビューションを作成する許可を付与 書き込み

distribution*

CreateFieldLevelEncryptionConfig 新しいフィールドレベル暗号化設定を作成する許可を付与 Write
CreateFieldLevelEncryptionProfile フィールドレベル暗号化プロファイルを作成する許可を付与 書き込み
CreateFunction CloudFront 関数を作成する許可を付与 書き込み

function*

CreateInvalidation 新しい無効化バッチリクエストを作成する許可を付与 書き込み

distribution*

CreateKeyGroup CloudFront に新しいキーグループを追加するアクセス許可を付与します 書き込み
CreateKeyValueStore CloudFront KeyValueStoreWord を作成するアクセス許可を付与します 書き込み

key-value-store*

CreateMonitoringSubscription 指定された CloudWatch ディストリビューションの additional CloudFront メトリクスを有効にするアクセス許可を付与します。追加のメトリクスには追加コストが発生します 書き込み
CreateOriginAccessControl 新しいオリジンアクセスコントロールを作成する権限を付与する 書き込み
CreateOriginRequestPolicy 新しいオリジンリクエストポリシーを CloudFront に追加する許可を付与 書き込み

origin-request-policy*

CreatePublicKey 新しいパブリックキーを CloudFront に追加するアクセス許可を付与します 書き込み
CreateRealtimeLogConfig リアルタイムログ設定を作成する許可を付与 書き込み

realtime-log-config*

CreateResponseHeadersPolicy 新しいレスポンスヘッダーポリシーを CloudFront に追加するアクセス許可を付与します 書き込み

response-headers-policy*

CreateSavingsPlan[アクセス許可のみ] 新しい Savings Plans を作成する権限を付与する 書き込み
CreateStreamingDistribution 新しい RTMP ディストリビューションを作成するアクセス許可を付与します 書き込み

streaming-distribution*

CreateStreamingDistributionWithTags タグを使用して新しい RTMP ディストリビューションを作成する許可を付与 書き込み

streaming-distribution*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateVpcOrigin VPC オリジンを作成する許可を付与 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAnycastIpList Anycast 静的 IP リストを削除するアクセス許可を付与します 書き込み

anycast-ip-list*

DeleteCachePolicy キャッシュポリシーを削除する許可を付与 書き込み

cache-policy*

DeleteCloudFrontOriginAccessIdentity CloudFront オリジンアクセスアイデンティティを削除する許可を付与 書き込み

origin-access-identity*

DeleteContinuousDeploymentPolicy 継続的デプロイポリシーを削除するための許可を付与します 書き込み

continuous-deployment-policy*

DeleteDistribution ウェブディストリビューションを削除する許可を付与 Write

distribution*

DeleteFieldLevelEncryptionConfig フィールドレベル暗号化の設定を削除する許可を付与 Write

field-level-encryption-config*

DeleteFieldLevelEncryptionProfile フィールドレベル暗号化プロファイルを削除する許可を付与 書き込み

field-level-encryption-profile*

DeleteFunction CloudFront 関数を削除するアクセス許可を付与します 書き込み

function*

DeleteKeyGroup キーグループを削除する許可を付与 書き込み
DeleteKeyValueStore CloudFront KeyValueStoreWord を削除するアクセス許可を付与します 書き込み

key-value-store*

DeleteMonitoringSubscription 指定された CloudWatch ディストリビューションの CloudFront メトリクスを無効にするアクセス許可を付与します 書き込み
DeleteOriginAccessControl オリジンアクセスコントロールを削除する権限を付与する 書き込み

origin-access-control*

DeleteOriginRequestPolicy オリジンリクエストポリシーを削除する許可を付与 書き込み

origin-request-policy*

DeletePublicKey CloudFront からパブリックキーを削除するアクセス許可を付与します 書き込み
DeleteRealtimeLogConfig リアルタイムログ設定を削除する許可を付与 書き込み

realtime-log-config*

DeleteResponseHeadersPolicy リソースヘッダーポリシを削除する許可を付与 書き込み

response-headers-policy*

DeleteStreamingDistribution RTMP ディストリビューションを削除する許可を付与 書き込み

streaming-distribution*

DeleteVpcOrigin VPC オリジンを削除する許可を付与 書き込み

vpcorigin*

DescribeFunction CloudFront 関数の概要を取得するアクセス許可を付与します 読み取り

function*

DescribeKeyValueStore KeyValueStore CloudFront の概要を取得する許可を付与 読み取り

key-value-store*

GetAnycastIpList Anycast 静的 IP リストを取得する許可を付与 読み取り

anycast-ip-list*

GetCachePolicy キャッシュポリシーを取得する許可を付与 Read

cache-policy*

GetCachePolicyConfig キャッシュポリシー設定を取得する許可を付与 読み取り

cache-policy*

GetCloudFrontOriginAccessIdentity a CloudFront オリジンアクセスアイデンティティに関する情報を取得する許可を付与 読み取り

origin-access-identity*

GetCloudFrontOriginAccessIdentityConfig CloudFront オリジンアクセスアイデンティティに関する設定情報を取得する許可を付与 読み取り

origin-access-identity*

GetContinuousDeploymentPolicy 継続的デプロイポリシーを取得するための許可を付与します 読み取り

continuous-deployment-policy*

GetContinuousDeploymentPolicyConfig 継続的デプロイポリシー設定を取得するための許可を付与します 読み取り

continuous-deployment-policy*

GetDistribution ウェブディストリビューションに関する情報を取得する許可を付与 Read

distribution*

GetDistributionConfig ディストリビューションに関する設定情報を取得する許可を付与 Read

distribution*

GetFieldLevelEncryption フィールドレベル暗号化設定情報を取得する許可を付与 Read

field-level-encryption-config*

GetFieldLevelEncryptionConfig フィールドレベル暗号化設定情報を取得する許可を付与 Read

field-level-encryption-config*

GetFieldLevelEncryptionProfile フィールドレベル暗号化設定情報を取得する許可を付与 Read

field-level-encryption-profile*

GetFieldLevelEncryptionProfileConfig フィールドレベル暗号化プロファイル設定情報を取得する許可を付与 読み取り

field-level-encryption-profile*

GetFunction CloudFront 関数のコードを取得する許可を付与 読み取り

function*

GetInvalidation 無効化に関する情報を取得する許可を付与 Read

distribution*

GetKeyGroup キーグループを取得する許可を付与 Read
GetKeyGroupConfig キーグループ設定を取得する許可を付与 読み取り
GetMonitoringSubscription 指定された CloudWatch ディストリビューションで additional CloudFront メトリクスが有効になっているかどうかに関する情報を取得するアクセス許可を付与します 読み取り
GetOriginAccessControl オリジンアクセスコントロールを取得する権限を付与する 読み取り

origin-access-control*

GetOriginAccessControlConfig オリジンアクセスコントロール設定を取得する権限を付与する 読み取り

origin-access-control*

GetOriginRequestPolicy オリジンリクエストポリシーを取得する許可を付与 Read

origin-request-policy*

GetOriginRequestPolicyConfig オリジンリクエストポリシー設定を取得する許可を付与 Read

origin-request-policy*

GetPublicKey 公開鍵情報を取得する許可を付与 Read
GetPublicKeyConfig 公開鍵設定情報を取得する許可を付与 Read
GetRealtimeLogConfig リアルタイムログ設定を取得する許可を付与 読み取り

realtime-log-config*

GetResponseHeadersPolicy レスポンスヘッダーポリシーを取得するアクセス許可を付与 読み取り

response-headers-policy*

GetResponseHeadersPolicyConfig レスポンスヘッダーポリシー設定を取得する許可を付与 読み取り

response-headers-policy*

GetSavingsPlan[アクセス許可のみ] Savings Plans を取得する権限を付与する 読み取り
GetStreamingDistribution RTMP ディストリビューションに関する情報を取得する許可を付与 読み取り

streaming-distribution*

GetStreamingDistributionConfig ストリーミングディストリビューションに関する設定情報を取得する許可を付与 読み取り

streaming-distribution*

GetVpcOrigin VPC オリジンに関する情報を取得する許可を付与 読み取り

vpcorigin*

ListAnycastIpLists Anycast 静的 IP リストを一覧表示する許可を付与 リスト
ListCachePolicies このアカウントの in CloudFront で作成されたすべてのキャッシュポリシーを一覧表示するアクセス許可を付与します リスト
ListCloudFrontOriginAccessIdentities CloudFront オリジンアクセスアイデンティティを一覧表示するアクセス許可を付与します リスト
ListConflictingAliases 指定されたエイリアス in CloudFront と競合するすべてのエイリアスを一覧表示するアクセス許可を付与します リスト

distribution*

ListContinuousDeploymentPolicies アカウント内のすべての継続的デプロイポリシーを一覧表示するための許可を付与します リスト
ListDistributions に関連付けられているディストリビューションを一覧表示するアクセス許可を付与します AWS アカウント リスト
ListDistributionsByAnycastIpListId 指定された AnycastIpListId に関連付けられているアカウント内のディストリビューションを一覧表示するアクセス許可を付与します リスト
ListDistributionsByCachePolicyId 指定されたキャッシュポリシーに関連付けられたキャッシュ動作を持つディストリビューションのディストリビューションIDsを一覧表示するアクセス許可を付与します リスト
ListDistributionsByKeyGroup 指定されたキーグループに関連付けられたキャッシュ動作を持つディストリビューションのディストリビューションIDsを一覧表示するアクセス許可を付与します リスト
ListDistributionsByLambdaFunction[アクセス許可のみ] Lambda 関数に関連付けられているディストリビューションを一覧表示するためのアクセス許可を付与 リスト
ListDistributionsByOriginRequestPolicyId 指定されたオリジンリクエストポリシーに関連付けられたキャッシュ動作を持つディストリビューションのディストリビューションIDsを一覧表示するアクセス許可を付与します リスト
ListDistributionsByRealtimeLogConfig 指定されたリアルタイムログ設定に関連付けられたキャッシュ動作を持つディストリビューションのリストを取得する許可を付与する リスト
ListDistributionsByResponseHeadersPolicyId 指定されたレスポンスヘッダーポリシーに関連付けられたキャッシュ動作を持つディストリビューションのディストリビューションIDsを一覧表示するアクセス許可を付与します リスト
ListDistributionsByVpcOriginId 指定された IDs オリジンに関連付けられたディストリビューションの VPC を一覧表示するアクセス許可を付与します リスト
ListDistributionsByWebACLId given AWS WAF ウェブ ACL AWS アカウント で に関連付けられたディストリビューションを一覧表示するアクセス許可を付与します リスト
ListFieldLevelEncryptionConfigs このアカウントの in CloudFront で作成されたすべてのフィールドレベルの暗号化設定を一覧表示するアクセス許可を付与します リスト
ListFieldLevelEncryptionProfiles このアカウントの in CloudFront で作成されたすべてのフィールドレベルの暗号化プロファイルを一覧表示するアクセス許可を付与します リスト
ListFunctions CloudFront 関数のリストを取得する許可を付与 リスト
ListInvalidations 無効化バッチを一覧表示する許可を付与 リスト

distribution*

ListKeyGroups このアカウントの in CloudFront で作成されたすべてのキーグループを一覧表示するアクセス許可を付与します リスト
ListKeyValueStores CloudFront KeyValueStoresWord のリストを取得する許可を付与 リスト
ListOriginAccessControls アカウント内にあるすべてのオリジンアクセスコントロールを一覧表示する権限を付与する リスト
ListOriginRequestPolicies このアカウントの in CloudFront で作成されたすべてのオリジンリクエストポリシーを一覧表示するアクセス許可を付与します リスト
ListPublicKeys このアカウントの CloudFront に追加されたすべてのパブリックキーを一覧表示するアクセス許可を付与します リスト
ListRateCards[アクセス許可のみ] アカウントの CloudFront レートカードを一覧表示するアクセス許可を付与します リスト
ListRealtimeLogConfigs リアルタイムログ設定を一覧表示する許可を付与 リスト
ListResponseHeadersPolicies このアカウントの in CloudFront で作成されたすべてのレスポンスヘッダーポリシーを一覧表示するアクセス許可を付与します リスト
ListSavingsPlans[アクセス許可のみ] アカウント内に savings plans を一覧表示する権限を付与する リスト
ListStreamingDistributions RTMP ディストリビューションを一覧表示する許可を付与 リスト
ListTagsForResource a CloudFront リソースのタグを一覧表示する許可を付与 読み取り

anycast-ip-list

distribution

vpcorigin

ListUsages[アクセス許可のみ] list CloudFront の使用許可を付与 リスト
ListVpcOrigins VPC オリジンを一覧表示する許可を付与 リスト
PublishFunction CloudFront 関数を発行するアクセス許可を付与します 書き込み

function*

TagResource CloudFront リソースにタグを追加するアクセス許可を付与します タグ付け

anycast-ip-list

distribution

streaming-distribution

vpcorigin

aws:RequestTag/${TagKey}

aws:TagKeys

TestFunction a CloudFront 関数をテストするアクセス許可を付与します 書き込み

function*

UntagResource a CloudFront リソースからタグを削除するアクセス許可を付与します タグ付け

anycast-ip-list

distribution

streaming-distribution

vpcorigin

aws:TagKeys

UpdateCachePolicy キャッシュポリシーを更新する許可を付与 書き込み

cache-policy*

UpdateCloudFrontOriginAccessIdentity a CloudFront オリジンアクセスアイデンティティの設定を設定するアクセス許可を付与します 書き込み

origin-access-identity*

UpdateContinuousDeploymentPolicy 継続的デプロイポリシーを更新するための許可を付与します 書き込み

continuous-deployment-policy*

UpdateDistribution ウェブディストリビューション設定を更新する許可を付与 書き込み

distribution*

UpdateDistributionWithStagingConfig ステージング Web ディストリビューションから対応するプライマリ Web ディストリビューションに設定をコピーする許可を付与する 書き込み

distribution*

UpdateFieldLevelEncryptionConfig フィールドレベル暗号化設定を更新する許可を付与 Write
UpdateFieldLevelEncryptionProfile フィールドレベル暗号化プロファイルを更新する許可を付与 書き込み

field-level-encryption-profile*

UpdateFunction a CloudFront 関数を更新する許可を付与 書き込み

function*

UpdateKeyGroup キーグループを更新する許可を付与 書き込み
UpdateKeyValueStore CloudFront KeyValueStoreWord を更新する許可を付与 書き込み

key-value-store*

UpdateOriginAccessControl オリジンアクセスコントロールを更新する権限を付与する 書き込み

origin-access-control*

UpdateOriginRequestPolicy オリジンリクエストポリシーを更新する許可を付与 Write

origin-request-policy*

UpdatePublicKey 公開鍵情報を更新する許可を付与 Write
UpdateRealtimeLogConfig リアルタイムログ設定を更新する許可を付与 書き込み

realtime-log-config*

UpdateResponseHeadersPolicy データセットのリソースポリシーを更新するアクセス許可を付与 書き込み

response-headers-policy*

UpdateSavingsPlan[アクセス許可のみ] Savings Plans を更新する権限を付与する 書き込み
UpdateStreamingDistribution RTMP ディストリビューションの設定を更新する許可を付与 書き込み

streaming-distribution*

UpdateVpcOrigin VPC オリジンを更新する許可を付与 書き込み

vpcorigin*

Amazon CloudFront で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
distribution arn:${Partition}:cloudfront::${Account}:distribution/${DistributionId}

aws:ResourceTag/${TagKey}

streaming-distribution arn:${Partition}:cloudfront::${Account}:streaming-distribution/${DistributionId}

aws:ResourceTag/${TagKey}

origin-access-identity arn:${Partition}:cloudfront::${Account}:origin-access-identity/${Id}
field-level-encryption-config arn:${Partition}:cloudfront::${Account}:field-level-encryption-config/${Id}
field-level-encryption-profile arn:${Partition}:cloudfront::${Account}:field-level-encryption-profile/${Id}
cache-policy arn:${Partition}:cloudfront::${Account}:cache-policy/${Id}
origin-request-policy arn:${Partition}:cloudfront::${Account}:origin-request-policy/${Id}
realtime-log-config arn:${Partition}:cloudfront::${Account}:realtime-log-config/${Name}
function arn:${Partition}:cloudfront::${Account}:function/${Name}
key-value-store arn:${Partition}:cloudfront::${Account}:key-value-store/${Name}
response-headers-policy arn:${Partition}:cloudfront::${Account}:response-headers-policy/${Id}
origin-access-control arn:${Partition}:cloudfront::${Account}:origin-access-control/${Id}
continuous-deployment-policy arn:${Partition}:cloudfront::${Account}:continuous-deployment-policy/${Id}
anycast-ip-list arn:${Partition}:cloudfront::${Account}:anycast-ip-list/${Id}

aws:ResourceTag/${TagKey}

vpcorigin arn:${Partition}:cloudfront::${Account}:vpcorigin/${Id}

aws:ResourceTag/${TagKey}

Amazon CloudFront の条件キー

Amazon CloudFront では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString