AWSpolíticas gerenciadas para a Amazon CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicatorAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSpolíticas gerenciadas para a Amazon CloudFront

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem aos seus usuários apenas as permissões de que eles precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no IAM User Guide.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos atributos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e perfis) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas permissões estiverem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspenderão suas permissões existentes.

Além disso, a AWS oferece suporte a políticas gerenciadas para perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess gerenciada pela AWS concede acesso somente leitura a todos os recursos e serviços da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

Política gerenciada da AWS: CloudFrontReadOnlyAccess

É possível anexar a política CloudFrontReadOnlyAccess a suas identidades do IAM. Essa política permite permissões somente de leitura para CloudFront recursos. Também permite permissões somente de leitura para outros recursos de AWS serviço relacionados CloudFront e visíveis no CloudFront console.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • cloudfront:Describe*— Permite que os diretores obtenham informações sobre metadados sobre CloudFront recursos.

  • cloudfront:Get*— permite que os diretores obtenham informações e configurações detalhadas dos recursos. CloudFront

  • cloudfront:List*— Permite que os diretores obtenham listas de CloudFront recursos.

  • cloudfront-keyvaluestore:Describe*- Permite que os diretores obtenham informações sobre o armazenamento de valores-chave.

  • cloudfront-keyvaluestore:Get*- Permite que os diretores obtenham informações e configurações detalhadas para o armazenamento de valores-chave.

  • cloudfront-keyvaluestore:List*- Permite que os diretores obtenham listas dos principais estoques de valores.

  • acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.

  • iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.

  • route53:List*: permite que os principais obtenham listas de recursos do Route 53.

  • waf:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • waf:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

  • wafv2:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • wafv2:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWSPolítica gerenciada da : CloudFrontFullAccess

É possível anexar a política CloudFrontFullAccess a suas identidades do IAM. Essa política permite permissões administrativas para CloudFront recursos. Também permite permissões somente de leitura para outros recursos de AWS serviço relacionados CloudFront e visíveis no CloudFront console.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • s3:ListAllMyBuckets: permite que os principais obtenham uma lista de todos os buckets do Amazon S3.

  • acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.

  • cloudfront:*— Permite que os diretores realizem todas as ações em todos os CloudFront recursos.

  • cloudfront-keyvaluestore:*- Permite que os diretores realizem todas as ações no armazenamento de valores-chave.

  • iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.

  • waf:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • waf:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

  • wafv2:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • wafv2:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

  • kinesis:ListStreams: permite que os principais obtenham uma lista de fluxos do Amazon Kinesis.

  • kinesis:DescribeStream: permite que os principais obtenham informações detalhadas sobre um fluxo do Kinesis.

  • iam:ListRoles: permite que os principais obtenham uma lista de funções no IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}

AWSPolítica gerenciada da : AWSCloudFrontLogger

Você não pode anexar a AWSCloudFrontLoggerpolítica às suas identidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite CloudFront realizar ações em seu nome. Para ter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge.

Essa política permite CloudFront enviar arquivos de log para a Amazon CloudWatch. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculadas ao serviço para registrador CloudFront.

AWSPolítica gerenciada da : AWSLambdaReplicator

Você não pode anexar a AWSLambdaReplicatorpolítica às suas identidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite CloudFront realizar ações em seu nome. Para ter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge.

Essa política permite CloudFront criar, excluir e desativar funções AWS Lambda para replicar funções do Lambda @Edge para. Regiões da AWS Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o replicador do Lambda.

Atualizações do CloudFront para políticas gerenciadas pela AWS

Veja detalhes sobre as atualizações das políticas AWS gerenciadas CloudFront desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do CloudFront documento.

Alteração Descrição Data

CloudFrontReadOnlyAccess e CloudFrontFullAccess: atualização em duas políticas existentes.

CloudFront adicionou novas permissões para armazenamentos de valores-chave.

As novas permissões permitem que os usuários obtenham informações e tomem medidas sobre os principais repositórios de valores.

 19 de dezembro de 2023

CloudFrontReadOnlyAccess: atualização para uma política existente

CloudFront adicionou uma nova permissão para descrever CloudFront as funções.

Essa permissão permite que o usuário, grupo ou função leia informações e metadados sobre uma função, mas não o código da função.

 8 de setembro de 2021

CloudFront começou a rastrear alterações

CloudFront começou a rastrear as mudanças em suas políticas AWS gerenciadas.

 8 de setembro de 2021