AWSPolíticas gerenciadas pela para Amazon CloudFront - Amazon CloudFront

AWSPolíticas gerenciadas pela para Amazon CloudFront

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem aos seus usuários apenas as permissões de que eles precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas permissões estiverem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspenderão suas permissões existentes.

Além disso, a AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada pela AWS denominada ReadOnlyAccess fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo recurso, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.

AWSPolítica gerenciada pela : CloudFrontReadOnlyAccess

Você pode anexar a política CloudFrontReadOnlyAccess a suas identidades do IAM. Essa política concede permissões somente leitura aos recursos do CloudFront. Ela também concede permissões somente leitura a outros recursos de serviços da AWS que estão relacionados ao CloudFront e são visíveis no console do CloudFront.

Detalhes da permissão

Esta política inclui as seguintes permissões.

  • cloudfront:DescribeFunction: permite que os principais obtenham informações sobre metadados de funções do CloudFront.

  • cloudfront:Get*: permite que os principais obtenham informações detalhadas e configurações para recursos do CloudFront.

  • cloudfront:List*: permite que os principais obtenham listas de recursos do CloudFront.

  • acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.

  • iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.

  • route53:List*: permite que os principais obtenham listas de recursos do Route 53.

  • waf:ListWebACLs – permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • waf:GetWebACL – permite que os principais obtenham informações detalhadas sobre ACLs da Web no AWS WAF.

  • wafv2:ListWebACLs – permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • wafv2:GetWebACL – permite que os principais obtenham informações detalhadas sobre ACLs da Web no AWS WAF.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "acm:ListCertificates", "cloudfront:DescribeFunction", "cloudfront:Get*", "cloudfront:List*", "iam:ListServerCertificates", "route53:List*", "waf:ListWebACLs", "waf:GetWebACL", "wafv2:ListWebACLs", "wafv2:GetWebACL" ], "Resource": "*" } ] }

AWSPolítica gerenciada pela : CloudFrontFullAccess

Você pode anexar a política CloudFrontFullAccess a suas identidades do IAM. Essa política concede permissões administrativas aos recursos do CloudFront. Ela também concede permissões somente leitura a outros recursos de serviços da AWS que estão relacionados ao CloudFront e são visíveis no console do CloudFront.

Detalhes da permissão

Esta política inclui as seguintes permissões.

  • cloudfront:*: permite que os principais realizem todas as ações em todos os recursos do CloudFront.

  • s3:ListAllMyBuckets: permite que os principais obtenham uma lista de todos os buckets do Amazon S3.

  • acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.

  • iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.

  • waf:ListWebACLs – permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • waf:GetWebACL – permite que os principais obtenham informações detalhadas sobre ACLs da Web no AWS WAF.

  • wafv2:ListWebACLs – permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.

  • wafv2:GetWebACL – permite que os principais obtenham informações detalhadas sobre ACLs da Web no AWS WAF.

  • kinesis:ListStreams: permite que os principais obtenham uma lista de fluxos do Amazon Kinesis.

  • kinesis:DescribeStream: permite que os principais obtenham informações detalhadas sobre um fluxo do Kinesis.

  • iam:ListRoles: permite que os principais obtenham uma lista de funções no IAM.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListAllMyBuckets" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Action": [ "acm:ListCertificates", "cloudfront:*", "iam:ListServerCertificates", "waf:ListWebACLs", "waf:GetWebACL", "wafv2:ListWebACLs", "wafv2:GetWebACL", "kinesis:ListStreams" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kinesis:DescribeStream" ], "Effect": "Allow", "Resource": "arn:aws:kinesis:*:*:*" }, { "Action": [ "iam:ListRoles" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:*" } ] }

AWSPolítica gerenciada pela : AWSCloudFrontLogger

Não é possível anexar a política AWSCloudFrontLogger a suas identidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para obter mais informações, consulte . Funções vinculadas ao serviço para o Lambda@Edge.

Essa política permite que o CloudFront envie arquivos de log para o Amazon CloudWatch. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o CloudFront Logger.

AWSPolítica gerenciada pela : AWSLambdaReplicator

Não é possível anexar a política AWSLambdaReplicator a suas identidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para obter mais informações, consulte . Funções vinculadas ao serviço para o Lambda@Edge.

Esta política permite que o CloudFront crie, exclua e desabilite funções no AWS Lambda para replicar funções do Lambda@Edge para Regiões da AWS. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o replicador do Lambda.

Atualizações do CloudFront em políticas gerenciadas pela AWS

Veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o CloudFront desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Document history (Histórico de documentos) do CloudFront.

Alteração Descrição Data

CloudFrontReadOnlyAccess: atualização em uma política existente

O CloudFront adicionou uma nova permissão para descrever as funções do CloudFront.

Ela permite que o usuário, grupo ou função leia informações e metadados sobre uma função do CloudFront, mas não o código da função.

8 de setembro de 2021

CloudFront começa a monitorar alterações

CloudFront começa a monitorar alterações para suas políticas gerenciadas pela AWS.

8 de setembro de 2021