Permissões da API do CloudFront: referência de ações, recursos e condições - Amazon CloudFront

Permissões da API do CloudFront: referência de ações, recursos e condições

Ao configurar Controle de acesso e criar uma política de permissões que pode ser anexada a uma identidade do IAM (políticas baseadas em identidade), é possível usar as de tabelas a seguir como referência. As tabelas listam cada operação da API do CloudFront, as ações correspondentes às quais você pode conceder permissões para executar a ação e o recurso da AWS ao qual pode conceder as permissões. Você especifica as ações no campo Action da política e o valor do recurso no campo Resource da política.

É possível usar as chaves de condição de toda a AWS em suas políticas do CloudFront para expressar condições. Para obter uma lista completa das chaves da AWS, consulte Chaves disponíveis no Guia do usuário do IAM.

Permissões exigidas para ações em distribuições

CreateDistribution

Permissões obrigatórias (ação de API):

  • cloudfront:CreateDistribution

  • acm:ListCertificates (somente console do CloudFront)

  • Somente se você configurar o CloudFront para salvar logs de acesso:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • A ACL do S3 do bucket deve conceder a você FULL_CONTROL

Recursos:

  • CloudFront: *

  • ACM: *

  • Amazon S3: se você configurar o CloudFront para salvar logs de acesso, poderá opcionalmente restringir o acesso a um bucket especificado.

CreateDistributionWithTags

Permissões obrigatórias (ação de API):

  • cloudfront:CreateDistribution, cloudfront:TagResource

  • acm:ListCertificates (somente console do CloudFront)

  • Somente se você configurar o CloudFront para salvar logs de acesso:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • A ACL do S3 do bucket deve conceder a você FULL_CONTROL

Recursos:

  • CloudFront: *

  • ACM: *

  • Amazon S3: se você configurar o CloudFront para salvar logs de acesso, poderá opcionalmente restringir o acesso a um bucket especificado.

GetDistribution

Permissões necessárias (ação da API): cloudfront:GetDistribution, acm:ListCertificates (somente console do CloudFront)

Recursos: *

GetDistributionConfig

Permissões necessárias (ação da API): cloudfront:GetDistributionConfig, acm:ListCertificates (somente console do CloudFront)

Recursos: *

ListDistributions

Permissões obrigatórias (ação de API): cloudfront:ListDistributions

Recursos: *

UpdateDistribution

Permissões obrigatórias (ação de API):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates (somente console do CloudFront)

  • Somente se você configurar o CloudFront para salvar logs de acesso:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • A ACL do S3 do bucket deve conceder a você FULL_CONTROL

Recursos:

  • CloudFront: *

  • ACM: *

  • Amazon S3: se você configurar o CloudFront para salvar logs de acesso, poderá opcionalmente restringir o acesso a um bucket especificado.

DeleteDistribution

Permissões obrigatórias (ação de API): cloudfront:DeleteDistribution

Recursos: *

Permissões exigidas para ações em invalidações

CreateInvalidation

Permissões obrigatórias (ação de API): cloudfront:CreateInvalidation

Recursos: *

GetInvalidation

Permissões obrigatórias (ação de API): cloudfront:GetInvalidation

Recursos: *

ListInvalidations

Permissões obrigatórias (ação de API): cloudfront:ListInvalidations

Recursos: *

Permissões exigidas para ações em origin access identities

CreateCloudFrontOriginAccessIdentity

Permissões obrigatórias (ação de API): cloudfront:CreateCloudFrontOriginAccessIdentity

Recursos: *

GetCloudFrontOriginAccessIdentity

Permissões obrigatórias (ação de API): cloudfront:GetCloudFrontOriginAccessIdentity

Recursos: *

GetCloudFrontOriginAccessIdentityConfig

Permissões obrigatórias (ação de API): cloudfront:GetCloudFrontOriginAccessIdentityConfig

Recursos: *

ListCloudFrontOriginAccessIdentities

Permissões obrigatórias (ação de API): cloudfront:ListCloudFrontOriginAccessIdentities

Recursos: *

UpdateCloudFrontOriginAccessIdentity

Permissões obrigatórias (ação de API): cloudfront:UpdateCloudFrontOriginAccessIdentity

Recursos: *

DeleteCloudFrontOriginAccessIdentity

Permissões obrigatórias (ação de API): cloudfront:DeleteCloudFrontOriginAccessIdentity

Recursos: *

Permissões exigidas para ações do CloudFront relacionadas ao Lambda@Edge

Para usar o Lambda@Edge, você precisa das seguintes permissões do CloudFront para que possa criar ou atualizar uma distribuição que inclua triggers de funções do Lambda.

CreateDistribution

Permissões obrigatórias (ação de API):

  • cloudfront:CreateDistribution

  • acm:ListCertificates (somente console do CloudFront)

  • Somente se você configurar o CloudFront para salvar logs de acesso:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • A ACL do S3 do bucket deve conceder a você FULL_CONTROL

Recursos:

  • CloudFront: *

  • ACM: *

  • Amazon S3: se você configurar o CloudFront para salvar logs de acesso, poderá opcionalmente restringir o acesso a um bucket especificado.

CreateDistributionWithTags

Permissões obrigatórias (ação de API):

  • cloudfront:CreateDistribution, cloudfront:TagResource

  • acm:ListCertificates (somente console do CloudFront)

  • Somente se você configurar o CloudFront para salvar logs de acesso:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • A ACL do S3 do bucket deve conceder a você FULL_CONTROL

Recursos:

  • CloudFront: *

  • ACM: *

  • Amazon S3: se você configurar o CloudFront para salvar logs de acesso, poderá opcionalmente restringir o acesso a um bucket especificado.

UpdateDistribution

Permissões obrigatórias (ação de API):

  • cloudfront:UpdateDistribution

  • acm:ListCertificates (somente console do CloudFront)

  • Somente se você configurar o CloudFront para salvar logs de acesso:

    • s3:GetBucketAcl

    • s3:PutBucketAcl

    • A ACL do S3 do bucket deve conceder a você FULL_CONTROL

Recursos:

  • CloudFront: *

  • ACM: *

  • Amazon S3: se você configurar o CloudFront para salvar logs de acesso, poderá opcionalmente restringir o acesso a um bucket especificado.

Permissões exigidas para ações em tags

TagResource

Permissões obrigatórias (ação de API): cloudfront:TagResource

Recursos: *

UntagResource

Permissões obrigatórias (ação de API): cloudfront:UntagResource

Recursos: *

ListTagsForResource

Permissões obrigatórias (ação de API): cloudfront:ListTagsForResource

Recursos: *