AWS Amazon 的受管政策 CloudFront - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdaReplicator政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon 的受管政策 CloudFront

若要新增使用者、群組和角色的權限,使用 AWS 受管理的原則比自己撰寫原則更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的使用者提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南中的AWS 受管政策

AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新許可可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。

此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取。當服務啟動新功能時,會為新作業和資源新 AWS 增唯讀權限。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南有關任務職能的AWS 受管政策

AWS 受管理的策略: CloudFrontReadOnlyAccess

您可以將政CloudFrontReadOnlyAccess策附加到 IAM 身分。此原則允許 CloudFront 資源的唯讀權限。它還允許對與 CloudFront 主控台中相關 CloudFront 且可見的其他 AWS 服務資源提供唯讀權限。

許可詳細資訊

此政策包含以下許可。

  • cloudfront:Describe*— 允許主參與者取得有關資源中繼資料的 CloudFront 資訊。

  • cloudfront:Get*— 允許主參與者取得 CloudFront 資源的詳細資訊和組態。

  • cloudfront:List*— 允許主參與者取得 CloudFront資源清單。

  • cloudfront-keyvaluestore:Describe*-允許主參與者取得有關索引鍵值存放區的資訊。

  • cloudfront-keyvaluestore:Get*-允許主參與者取得索引鍵值存放區的詳細資訊和組態。

  • cloudfront-keyvaluestore:List*-允許主參與者取得索引鍵值存放區的清單。

  • acm:ListCertificates – 允許主參與者取得 ACM 憑證清單。

  • iam:ListServerCertificates – 允許主參與者取得存放在 IAM 的伺服器憑證清單。

  • route53:List* – 允許主參與者取得 Route 53 資源的清單。

  • waf:ListWebACLs – 允許主參與者取得 AWS WAF的 Web ACL 清單。

  • waf:GetWebACL – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。

  • wafv2:ListWebACLs – 允許主參與者取得 AWS WAF的 Web ACL 清單。

  • wafv2:GetWebACL – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfReadOnly",
      "Effect": "Allow",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudfront-keyvaluestore:Describe*",
        "cloudfront-keyvaluestore:Get*",
        "cloudfront-keyvaluestore:List*",
        "iam:ListServerCertificates",
        "route53:List*",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL"
      ],
      "Resource": "*"
    }
  ]
}

AWS 受管理的策略: CloudFrontFullAccess

您可以將政CloudFrontFullAccess策附加到 IAM 身分。此原則允許 CloudFront 資源的管理權限。它還允許對與 CloudFront 主控台中相關 CloudFront 且可見的其他 AWS 服務資源提供唯讀權限。

許可詳細資訊

此政策包含以下許可。

  • s3:ListAllMyBuckets – 允許主參與者取得所有 Amazon S3 儲存貯體的清單。

  • acm:ListCertificates – 允許主參與者取得 ACM 憑證清單。

  • cloudfront:*— 允許主參與者對所有 CloudFront資源執行所有動作。

  • cloudfront-keyvaluestore:*-允許主參與者對索引鍵值存放區執行所有動作。

  • iam:ListServerCertificates – 允許主參與者取得存放在 IAM 的伺服器憑證清單。

  • waf:ListWebACLs – 允許主參與者取得 AWS WAF的 Web ACL 清單。

  • waf:GetWebACL – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。

  • wafv2:ListWebACLs – 允許主參與者取得 AWS WAF的 Web ACL 清單。

  • wafv2:GetWebACL – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。

  • kinesis:ListStreams – 允許主參與者取得 Amazon Kinesis 串流的清單。

  • kinesis:DescribeStream – 允許主參與者取得 Kinesis 串流的詳細資訊。

  • iam:ListRoles – 允許主參與者取得 IAM 中角色的清單。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "cfflistbuckets",
      "Action": [
        "s3:ListAllMyBuckets"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::*"
    },
    {
      "Sid": "cffullaccess",
      "Action": [
        "acm:ListCertificates",
        "cloudfront:*",
        "cloudfront-keyvaluestore:*",
        "iam:ListServerCertificates",
        "waf:ListWebACLs",
        "waf:GetWebACL",
        "wafv2:ListWebACLs",
        "wafv2:GetWebACL",
        "kinesis:ListStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "cffdescribestream",
      "Action": [
        "kinesis:DescribeStream"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:kinesis:*:*:*"
    },
    {
      "Sid": "cfflistroles",
      "Action": [
        "iam:ListRoles"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:*"
    }
  ]
}
重要

如果您 CloudFront 要建立和儲存存取記錄,則需要授予其他權限。如需詳細資訊,請參閱 設定標準記錄和存取記錄檔所需的權限

AWS 受管理的策略: AWSCloudFrontLogger

您無法將該AWSCloudFrontLogger政策附加到 IAM 身分。此原則附加至服務連結角色,可 CloudFront 代表您執行動作。如需詳細資訊,請參閱 Lambda@Edge 的服務連結角色

此政策允許 CloudFront 將日誌文件推送到 Amazon CloudWatch。如需此政策中包含之許可的詳細資訊,請參閱 記錄器的服務連結角色許可 CloudFront

AWS 受管理的策略: AWSLambdaReplicator

您無法將該AWSLambdaReplicator政策附加到 IAM 身分。此原則附加至服務連結角色,可 CloudFront 代表您執行動作。如需詳細資訊,請參閱 Lambda@Edge 的服務連結角色

此原則 CloudFront 允許在中建立、刪除和停用函數, AWS Lambda 以將 Lambda @Edge 函數複寫到 AWS 區域。如需此政策中包含之許可的詳細資訊,請參閱 Lambda Replicator 的服務連結角色許可

CloudFront AWS 受管理策略的更新

檢視 CloudFront 自此服務開始追蹤這些變更以來的 AWS 受管理策略更新詳細資料。如需有關此頁面變更的自動警示,請訂閱「 CloudFront 文件歷史記錄」頁面上的 RSS 摘要。

變更 描述 日期

CloudFrontReadOnlyAccessCloudFrontFullAccess – 對兩個現有政策的更新。

CloudFront 為鍵值存儲添加了新的權限。

新權限可讓使用者取得關於索引鍵值存放區的相關資訊,並對其採取動作。

 2023 年 12 月 19 日

CloudFrontReadOnlyAccess – 更新現有政策

CloudFront 添加了描述 CloudFront 函數的新權限。

此權限允許使用者、群組或角色讀取有關函數的資訊和中繼資料,但不能讀取函數的程式碼。

 2021 年 9 月 8 日

CloudFront 開始追蹤變更

CloudFront 開始追蹤其 AWS 受管理策略的變更。

 2021 年 9 月 8 日