Políticas gerenciadas pela AWS para Amazon CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorAtualizações da política

Políticas gerenciadas pela AWS para Amazon CloudFront

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem aos seus usuários apenas as permissões de que eles precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no IAM User Guide.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos atributos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e perfis) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas permissões estiverem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspenderão suas permissões existentes.

Além disso, a AWS oferece suporte a políticas gerenciadas para perfis de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada pela AWS denominada ReadOnlyAccess fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

Política gerenciada pela AWS: CloudFrontReadOnlyAccess

Você pode anexar a política CloudFrontReadOnlyAccess a suas identidades do IAM. Essa política concede permissões somente leitura aos recursos do CloudFront. Ela também concede permissões somente leitura a outros recursos de serviços da AWS que estão relacionados ao CloudFront e são visíveis no console do CloudFront.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • cloudfront:Describe*: permite que as entidades principais obtenham informações sobre metadados de recursos do CloudFront.

  • cloudfront:Get*: permite que os principais obtenham informações detalhadas e configurações para recursos do CloudFront.

  • cloudfront:List*: permite que os principais obtenham listas de recursos do CloudFront.

  • cloudfront-keyvaluestore:Describe*: permite que as entidades principais obtenham informações sobre armazenamento de chave-valor.

  • cloudfront-keyvaluestore:Get*: permite que as entidades principais obtenham informações detalhadas e configurações para o armazenamento de chave-valor.

  • cloudfront-keyvaluestore:List*: permite que as entidades principais obtenham listas de armazenamentos de chave-valor.

  • acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.

  • iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.

  • route53:List*: permite que os principais obtenham listas de recursos do Route 53.

  • waf:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • waf:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

  • wafv2:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • wafv2:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

Política gerenciada pela AWS: CloudFrontFullAccess

Você pode anexar a política CloudFrontFullAccess a suas identidades do IAM. Essa política concede permissões administrativas aos recursos do CloudFront. Ela também concede permissões somente leitura a outros recursos de serviços da AWS que estão relacionados ao CloudFront e são visíveis no console do CloudFront.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • s3:ListAllMyBuckets: permite que os principais obtenham uma lista de todos os buckets do Amazon S3.

  • acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.

  • cloudfront:*: permite que os principais realizem todas as ações em todos os recursos do CloudFront.

  • cloudfront-keyvaluestore:*: permite que as entidades principais realizem todas as ações no armazenamento de chave-valor.

  • iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.

  • waf:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • waf:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

  • wafv2:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • wafv2:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

  • kinesis:ListStreams: permite que os principais obtenham uma lista de fluxos do Amazon Kinesis.

  • kinesis:DescribeStream: permite que os principais obtenham informações detalhadas sobre um fluxo do Kinesis.

  • iam:ListRoles: permite que os principais obtenham uma lista de funções no IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}

Política gerenciada pela AWS: AWSCloudFrontLogger

Não é possível anexar a política AWSCloudFrontLogger a suas identidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para ter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge.

Essa política permite que o CloudFront envie arquivos de log para o Amazon CloudWatch. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o CloudFront Logger.

Política gerenciada pela AWS: AWSLambdaReplicator

Não é possível anexar a política AWSLambdaReplicator a suas identidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para ter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge.

Esta política permite que o CloudFront crie, exclua e desabilite funções no AWS Lambda para replicar funções do Lambda@Edge para Regiões da AWS. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o replicador do Lambda.

Atualizações do CloudFront em políticas gerenciadas pela AWS

Veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o CloudFront desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Document history (Histórico de documentos) do CloudFront.

Alteração Descrição Data

CloudFrontReadOnlyAccess e CloudFrontFullAccess: atualização em duas políticas existentes.

O CloudFront adicionou novas permissões para armazenamentos de chave-valor.

As novas permissões permitem que os usuários obtenham informações e ajam em armazenamentos de chave-valor.

 19 de dezembro de 2023

CloudFrontReadOnlyAccess: atualização em uma política existente

O CloudFront adicionou uma nova permissão para descrever as CloudFront Functions.

Ela permite que o usuário, grupo ou perfil leia informações e metadados sobre uma função, mas não o código da função.

 8 de setembro de 2021

CloudFront começa a monitorar alterações

CloudFront começa a monitorar alterações para suas políticas gerenciadas pela AWS.

 8 de setembro de 2021