CloudFront API 권한: 작업, 리소스 및 조건 참조 - Amazon CloudFront

CloudFront API 권한: 작업, 리소스 및 조건 참조

액세스 제어 설정 및 IAM 자격 증명에 연결할 수 있는 권한 정책(자격 증명 기반 정책) 작성 시 다음 을 참조로 사용할 수 있습니다. 표 목록 CloudFront API 작업, 수행하도록 권한을 부여할 수 있는 작업, 권한을 부여할 수 있는 AWS 리소스가 각각 나열되어 있습니다. 정책의 Action 필드에서 작업을 지정하고, 정책의 Resource 필드에서 리소스 값을 지정합니다.

CloudFront 정책에서 AWS 차원 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS 차원 키의 전체 목록은 IAM 사용 설명서사용할 수 있는 키 단원을 참조하십시오.

웹 배포 작업에 필요한 권한

CreateDistribution

필요한 권한(API 작업):

  • cloudfront:CreateDistribution

  • acm:ListCertificates(CloudFront 콘솔 전용)

  • CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스:

  • CloudFront: *

  • ACM: *

  • Amazon S3: 액세스 로그를 저장하도록 CloudFront를 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

CreateDistributionWithTags

필요한 권한(API 작업):

  • cloudfront:CreateDistribution, cloudfront:TagResource

  • acm:ListCertificates(CloudFront 콘솔 전용)

  • CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스:

  • CloudFront: *

  • ACM: *

  • Amazon S3: 액세스 로그를 저장하도록 CloudFront를 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

GetDistribution

필요한 권한(API 작업): cloudfront:GetDistribution, acm:ListCertificates (CloudFront 콘솔 전용)

리소스: *

GetDistributionConfig

필요한 권한(API 작업): cloudfront:GetDistributionConfig, acm:ListCertificates (CloudFront 콘솔 전용)

리소스: *

ListDistributions

필요한 권한(API 작업): cloudfront:ListDistributions

리소스: *

UpdateDistribution

필요한 권한(API 작업):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates(CloudFront 콘솔 전용)

  • CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스:

  • CloudFront: *

  • ACM: *

  • Amazon S3: 액세스 로그를 저장하도록 CloudFront를 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

DeleteDistribution

필요한 권한(API 작업): cloudfront:DeleteDistribution

리소스: *

RTMP 배포 작업에 필요한 권한

CreateStreamingDistribution

필요한 권한(API 작업): cloudfront:CreateStreamingDistribution

CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

  • s3:GetBucketAcl

  • s3:PutBucketAcl

  • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스: *

CloudFront에서 액세스 로그를 저장하도록 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

CreateStreamingDistributionWithTags

필요한 권한(API 작업): cloudfront:CreateStreamingDistribution, cloudfront:TagResource

CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

  • s3:GetBucketAcl

  • s3:PutBucketAcl

  • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스: *

CloudFront에서 액세스 로그를 저장하도록 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

GetStreamingDistribution

필요한 권한(API 작업): cloudfront:GetStreamingDistribution

리소스: *

GetStreamingDistributionConfig

필요한 권한(API 작업): cloudfront:GetStreamingDistributionConfig

리소스: *

ListStreamingDistributions

필요한 권한(API 작업): cloudfront:ListStreamingDistributions

리소스: *

UpdateStreamingDistribution

필요한 권한(API 작업): cloudfront:UpdateStreamingDistribution

CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

  • s3:GetBucketAcl

  • s3:PutBucketAcl

  • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스: *

CloudFront에서 액세스 로그를 저장하도록 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

DeleteStreamingDistribution

필요한 권한(API 작업): cloudfront:DeleteDistribution

리소스: *

무효화 작업에 필요한 권한

CreateInvalidation

필요한 권한(API 작업): cloudfront:CreateInvalidation

리소스: *

GetInvalidation

필요한 권한(API 작업): cloudfront:GetInvalidation

리소스: *

ListInvalidations

필요한 권한(API 작업): cloudfront:ListInvalidations

리소스: *

원본 액세스 ID 작업에 필요한 권한

CreateCloudFrontOriginAccessIdentity

필요한 권한(API 작업): cloudfront:CreateCloudFrontOriginAccessIdentity

리소스: *

GetCloudFrontOriginAccessIdentity

필요한 권한(API 작업): cloudfront:GetCloudFrontOriginAccessIdentity

리소스: *

GetCloudFrontOriginAccessIdentityConfig

필요한 권한(API 작업): cloudfront:GetCloudFrontOriginAccessIdentityConfig

리소스: *

ListCloudFrontOriginAccessIdentities

필요한 권한(API 작업): cloudfront:ListCloudFrontOriginAccessIdentities

리소스: *

UpdateCloudFrontOriginAccessIdentity

필요한 권한(API 작업): cloudfront:UpdateCloudFrontOriginAccessIdentity

리소스: *

DeleteCloudFrontOriginAccessIdentity

필요한 권한(API 작업): cloudfront:DeleteCloudFrontOriginAccessIdentity

리소스: *

Lambda@Edge 관련 CloudFront 작업에 필요한 권한

Lambda@Edge를 사용하려면 Lambda 함수 트리거를 포함하는 배포를 생성하거나 업데이트할 수 있도록 다음의 CloudFront 권한이 필요합니다. 필요한 Lambda 권한에 대한 자세한 내용은 AWS Lambda Developer Guide의 "AWS Lambda@Edge" 장에서 IAM 권한 설정을 참조하십시오.

CreateDistribution

필요한 권한(API 작업):

  • cloudfront:CreateDistribution

  • acm:ListCertificates(CloudFront 콘솔 전용)

  • CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스:

  • CloudFront: *

  • ACM: *

  • Amazon S3: 액세스 로그를 저장하도록 CloudFront를 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

CreateDistributionWithTags

필요한 권한(API 작업):

  • cloudfront:CreateDistribution, cloudfront:TagResource

  • acm:ListCertificates(CloudFront 콘솔 전용)

  • CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스:

  • CloudFront: *

  • ACM: *

  • Amazon S3: 액세스 로그를 저장하도록 CloudFront를 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

UpdateDistribution

필요한 권한(API 작업):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates(CloudFront 콘솔 전용)

  • CloudFront에서 액세스 로그를 저장하도록 구성할 경우에만:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • 버킷의 S3 ACL에서 FULL_CONTROL 권한을 부여받아야 합니다.

리소스:

  • CloudFront: *

  • ACM: *

  • Amazon S3: 액세스 로그를 저장하도록 CloudFront를 구성할 경우 특정 버킷에 대한 액세스를 선택적으로 제한할 수 있습니다.

태그 작업에 필요한 권한

TagResource

필요한 권한(API 작업): cloudfront:TagResource

리소스: *

UntagResource

필요한 권한(API 작업): cloudfront:UntagResource

리소스: *

ListTagsForResource

필요한 권한(API 작업): cloudfront:ListTagsForResource

리소스: *