Amazon CloudFront용 AWS 관리형 정책 - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicator정책 업데이트

Amazon CloudFront용 AWS 관리형 정책

사용자, 그룹 또는 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 편리합니다. 사용자가 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하는 데 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용하면 됩니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서에서 AWS 관리형 정책을 참조하세요.

AWS 서비스 유지 관리 및 AWS관리형 정책 업데이트입니다. AWS 관리형 정책에서 권한을 변경할 수 없습니다. 서비스에서 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 새 기능이 출시되거나 새 권한이 사용 가능해지면 서비스는 AWS 관리형 정책을 업데이트합니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않기 때문에 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.

또한 AWS(은)는 여러 서비스의 직무에 대한 관리형 정책을 지원합니다. 예를 들어 ReadOnlyAccess라는 이름의 AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 서비스에서 새 기능을 시작하면 AWS가 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서직무에 관한 AWS 관리형 정책을 참조하십시오.

AWS 관리형 정책: CloudFrontReadOnlyAccess

CloudFrontReadOnlyAccess 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 CloudFront 리소스에 읽기 전용 권한을 허용합니다. 또한 CloudFront와 관련되어 있고 CloudFront 콘솔에 표시되는 AWS 서비스 리소스에 읽기 전용 권한을 허용합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • cloudfront:Describe* - 보안 주체가 CloudFront 리소스에 대한 메타데이터 정보를 가져올 수 있습니다.

  • cloudfront:Get* - 보안 주체가 CloudFront 리소스에 대한 자세한 정보 및 구성을 가져올 수 있습니다.

  • cloudfront:List* - 보안 주체가 CloudFront 리소스 목록을 가져올 수 있습니다.

  • cloudfront-keyvaluestore:Describe* - 보안 주체가 키 값 저장소에 대한 정보를 얻을 수 있습니다.

  • cloudfront-keyvaluestore:Get* - 보안 주체가 키 값 저장소에 대한 자세한 정보 및 구성을 가져올 수 있습니다.

  • cloudfront-keyvaluestore:List* - 보안 주체가 키 값 저장소 목록을 얻을 수 있습니다.

  • acm:ListCertificates - 보안 주체가 ACM 인증서 목록을 가져오도록 허용합니다.

  • iam:ListServerCertificates - 보안 주체가 IAM에 저장된 서버 인증서 목록을 가져올 수 있습니다.

  • route53:List* - 보안 주체가 Route 53 리소스 목록을 가져올 수 있습니다.

  • waf:ListWebACLs - 보안 주체가 AWS WAF에서 웹 ACL 목록을 가져올 수 있도록 허용합니다.

  • waf:GetWebACL - 보안 주체가 AWS WAF에서 웹 ACL에 대한 세부 정보를 가져올 수 있도록 허용합니다.

  • wafv2:ListWebACLs - 보안 주체가 AWS WAF에서 웹 ACL 목록을 가져올 수 있도록 허용합니다.

  • wafv2:GetWebACL - 보안 주체가 AWS WAF에서 웹 ACL에 대한 세부 정보를 가져올 수 있도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS 관리형 정책: CloudFrontFullAccess

CloudFrontFullAccess 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 CloudFront 리소스에 대한 관리 권한을 허용합니다. 또한 CloudFront와 관련되어 있고 CloudFront 콘솔에 표시되는 AWS 서비스 리소스에 읽기 전용 권한을 허용합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • s3:ListAllMyBuckets - 보안 주체가 모든 Amazon S3 버킷 목록을 가져오도록 허용합니다.

  • acm:ListCertificates - 보안 주체가 ACM 인증서 목록을 가져오도록 허용합니다.

  • cloudfront:* - 보안 주체가 모든 CloudFront 리소스에서 모든 작업을 수행하도록 허용합니다.

  • cloudfront-keyvaluestore:* - 보안 주체가 키 값 저장소에 대한 모든 작업을 수행할 수 있습니다.

  • iam:ListServerCertificates - 보안 주체가 IAM에 저장된 서버 인증서 목록을 가져올 수 있습니다.

  • waf:ListWebACLs - 보안 주체가 AWS WAF에서 웹 ACL 목록을 가져올 수 있도록 허용합니다.

  • waf:GetWebACL - 보안 주체가 AWS WAF에서 웹 ACL에 대한 세부 정보를 가져올 수 있도록 허용합니다.

  • wafv2:ListWebACLs - 보안 주체가 AWS WAF에서 웹 ACL 목록을 가져올 수 있도록 허용합니다.

  • wafv2:GetWebACL - 보안 주체가 AWS WAF에서 웹 ACL에 대한 세부 정보를 가져올 수 있도록 허용합니다.

  • kinesis:ListStreams - 보안 주체가 Amazon Kinesis Streams 목록을 가져올 수 있도록 허용합니다.

  • kinesis:DescribeStream - 보안 주체가 Kinesis 스트림에 대한 세부 정보를 가져올 수 있도록 허용합니다.

  • iam:ListRoles - 보안 주체가 IAM에서 역할 목록을 가져오도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}
중요

CloudFront에서 액세스 로그를 생성하여 저장하도록 하려면 추가 권한을 부여해야 합니다. 자세한 내용은 표준 로깅 구성 및 로그 파일 액세스에 필요한 권한 단원을 참조하십시오.

AWS 관리형 정책: AWSCloudFrontLogger

AWSCloudFrontLogger 정책을 IAM 자격 증명에 연결할 수 없습니다. 이 정책은 CloudFront에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 Lambda@Edge의 서비스 연결 역할 단원을 참조하십시오.

이 정책은 CloudFront에서 로그 파일을 Amazon CloudFront로 푸시할 수 있도록 허용합니다. 이 정책에 포함된 권한에 대한 자세한 내용은 CloudFront Logger에 대한 서비스 연결 역할 권한 섹션을 참조하세요.

AWS 관리형 정책: AWSLambdaReplicator

AWSLambdaReplicator 정책을 IAM 자격 증명에 연결할 수 없습니다. 이 정책은 CloudFront에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 Lambda@Edge의 서비스 연결 역할 단원을 참조하십시오.

이 정책을 통해 CloudFront는 AWS Lambda에서 함수를 생성, 삭제 및 비활성화하여 Lambda @Edge 함수를 AWS 리전에 복제할 수 있습니다. 이 정책에 포함된 권한에 대한 자세한 내용은 Lambda Replicator의 서비스 연결 역할 권한 섹션을 참조하세요.

AWS 관리형 정책에 대해 CloudFront 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 CloudFront의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 CloudFront 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

CloudFrontReadOnlyAccessCloudFrontFullAccess - 두 가지 기존 정책에 대한 업데이트입니다.

CloudFront에서 키 값 저장소에 대한 새로운 권한을 추가했습니다.

새 권한을 통해 사용자는 키 값 저장소에 대한 정보를 얻고 키 값 저장소에 대한 조치를 취할 수 있습니다.

 2023년 12월 19일

CloudFrontReadOnlyAccess - 기존 정책에 대한 업데이트

CloudFront는 CloudFront 함수를 설명하는 새로운 권한을 추가했습니다.

이 권한을 사용하면 사용자, 그룹 또는 역할이 함수에 대한 정보 및 메타데이터를 읽을 수 있지만 함수 코드는 읽을 수 없습니다.

 2021년 9월 8일

CloudFront, 변경 내용 추적 시작

CloudFront가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.

 2021년 9월 8일