本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon CloudFront 動作、資源和條件索引鍵
Amazon CloudFront (服務字首:cloudfront) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon CloudFront 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果此欄包含資源類型,則您可以在包含該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateAlias | 准許將別名與 CloudFront 分佈建立關聯 | 寫入 | |||
| CopyDistribution | 准許複製現有分佈並建立新的 Web 分佈 | 寫入 |
cloudfront:CopyDistribution cloudfront:CreateDistribution cloudfront:GetDistribution |
||
| CreateCachePolicy | 准許將新的快取政策新增至 CloudFront | 寫入 | |||
| CreateCloudFrontOriginAccessIdentity | 准許建立新的 CloudFront 原始存取身分 | 寫入 | |||
| CreateContinuousDeploymentPolicy | 准許將新的 continuous-deployment 政策新增至 CloudFront | 寫入 | |||
| CreateDistribution | 准許建立新的 Web 分佈 | 寫入 | |||
| CreateFieldLevelEncryptionConfig | 准許建立新的欄位層級加密組態 | 寫入 | |||
| CreateFieldLevelEncryptionProfile | 准許建立欄位層級加密的設定檔 | 寫入 | |||
| CreateFunction | 准許建立 CloudFront 函數 | 寫入 | |||
| CreateInvalidation | 准許建立新的失效批次請求 | 寫入 | |||
| CreateKeyGroup | 准許將新的金鑰群組新增至 CloudFront | 寫入 | |||
| CreateKeyValueStore | 授予許可將新的金鑰群組新增至 CloudFront | 寫入 | |||
| CreateMonitoringSubscription | 准許針對指定的 CloudFront 分佈啟用其他 CloudWatch 指標。額外指標會產生額外費用 | 寫入 | |||
| CreateOriginAccessControl | 准許建立新原始存取控制 | 寫入 | |||
| CreateOriginRequestPolicy | 准許將新的原始請求政策新增至 CloudFront | 寫入 | |||
| CreatePublicKey | 准許將新的公有金鑰新增至 CloudFront | 寫入 | |||
| CreateRealtimeLogConfig | 准許建立即時日誌安全組態 | 寫入 | |||
| CreateResponseHeadersPolicy | 准許將新的回應標頭政策新增至 CloudFront | 寫入 | |||
| CreateSavingsPlan [僅限許可] | 准許建立新 Savings Plan | 寫入 | |||
| CreateStreamingDistribution | 准許建立新的 RTMP 分佈 | 寫入 | |||
| CreateStreamingDistributionWithTags | 准許建立包含標籤的新 RTMP 分佈 | 寫入 | |||
| DeleteCachePolicy | 准許刪除快取政策 | 寫入 | |||
| DeleteCloudFrontOriginAccessIdentity | 准許刪除 CloudFront 原始存取身分 | 寫入 | |||
| DeleteContinuousDeploymentPolicy | 准許刪除 continuous-deployment 政策 | 寫入 | |||
| DeleteDistribution | 准許刪除 Web 分佈 | 寫入 | |||
| DeleteFieldLevelEncryptionConfig | 准許刪除欄位層級加密組態 | 寫入 | |||
| DeleteFieldLevelEncryptionProfile | 准許刪除欄位層級加密的設定檔 | 寫入 | |||
| DeleteFunction | 准許刪除 CloudFront 函數 | 寫入 | |||
| DeleteKeyGroup | 准許刪除金鑰群組 | 寫入 | |||
| DeleteKeyValueStore | 授予許可刪除 CloudFront 的公有金鑰 | 寫入 | |||
| DeleteMonitoringSubscription | 准許針對指定的 CloudFront 分佈停用其他 CloudWatch 指標 | 寫入 | |||
| DeleteOriginAccessControl | 准許刪除原始存取控制 | 寫入 | |||
| DeleteOriginRequestPolicy | 准許刪除原始請求政策 | 寫入 | |||
| DeletePublicKey | 准許刪除 CloudFront 的公有金鑰 | 寫入 | |||
| DeleteRealtimeLogConfig | 准許刪除即時日誌安全組態 | 寫入 | |||
| DeleteResponseHeadersPolicy | 准許刪除回應標頭政策 | 寫入 | |||
| DeleteStreamingDistribution | 准許刪除 RTMP 分佈 | 寫入 | |||
| DescribeFunction | 准許取得 CloudFront 函數摘要 | 讀取 | |||
| DescribeKeyValueStore | 授予許可取得 CloudFront 函數摘要 | 讀取 | |||
| GetCachePolicy | 准許取得快取政策 | 讀取 | |||
| GetCachePolicyConfig | 准許取得快取政策組態 | 讀取 | |||
| GetCloudFrontOriginAccessIdentity | 准許取得 CloudFront 原始存取身分的相關資訊 | 讀取 | |||
| GetCloudFrontOriginAccessIdentityConfig | 准許取得 CloudFront 原始存取身分的相關組態資訊 | 讀取 | |||
| GetContinuousDeploymentPolicy | 准許取得 continuous-deployment 政策 | 讀取 | |||
| GetContinuousDeploymentPolicyConfig | 准許取得 continuous-deployment 政策組態 | 讀取 | |||
| GetDistribution | 准許取得 Web 分佈的相關資訊 | 讀取 | |||
| GetDistributionConfig | 准許取得分佈的相關組態資訊 | 讀取 | |||
| GetFieldLevelEncryption | 准許取得欄位層級加密組態資訊 | 讀取 | |||
| GetFieldLevelEncryptionConfig | 准許取得欄位層級加密組態資訊 | 讀取 | |||
| GetFieldLevelEncryptionProfile | 准許取得欄位層級加密組態資訊 | 讀取 | |||
| GetFieldLevelEncryptionProfileConfig | 准許取得欄位層級加密的設定檔組態資訊 | 讀取 | |||
| GetFunction | 准許取得 CloudFront 函數的程式碼 | 讀取 | |||
| GetInvalidation | 准許取得失效的資訊 | 讀取 | |||
| GetKeyGroup | 准許取得金鑰群組 | 讀取 | |||
| GetKeyGroupConfig | 准許取得金鑰群組組態 | 讀取 | |||
| GetMonitoringSubscription | 准許取得有關指定的 CloudFront 分佈是否已啟用其他 CloudWatch 指標的相關資訊 | 讀取 | |||
| GetOriginAccessControl | 准許獲取原始存取控制 | 讀取 | |||
| GetOriginAccessControlConfig | 准許獲取原始存取控制組態 | 讀取 | |||
| GetOriginRequestPolicy | 准許取得原始請求政策 | 讀取 | |||
| GetOriginRequestPolicyConfig | 准許取得原始請求政策組態 | 讀取 | |||
| GetPublicKey | 准許取得公有金鑰資訊 | 讀取 | |||
| GetPublicKeyConfig | 准許取得公有金鑰組態資訊 | 讀取 | |||
| GetRealtimeLogConfig | 准許取得即時日誌安全組態 | 讀取 | |||
| GetResponseHeadersPolicy | 准許取得回應標頭政策 | 讀取 | |||
| GetResponseHeadersPolicyConfig | 准許取得回應標頭政策組態 | 讀取 | |||
| GetSavingsPlan [僅限許可] | 准許獲取 Savings Plan | 讀取 | |||
| GetStreamingDistribution | 准許取得 RTMP 分佈的相關資訊 | 讀取 | |||
| GetStreamingDistributionConfig | 准許取得串流分佈的相關組態資訊 | 讀取 | |||
| ListCachePolicies | 准許列出已在 CloudFront 中為此帳戶建立的所有快取政策 | 列出 | |||
| ListCloudFrontOriginAccessIdentities | 准許列出您的 CloudFront 原始存取身分 | 列出 | |||
| ListConflictingAliases | 准許列出在 CloudFront 中與特定別名衝突的所有別名 | 列出 | |||
| ListContinuousDeploymentPolicies | 准許列出帳戶中的所有 continuous-deployment 政策 | 列出 | |||
| ListDistributions | 准許列出與 AWS 帳戶 相關聯的分佈 | 列出 | |||
| ListDistributionsByCachePolicyId | 准許列出具有與指定快取政策相關快取行為分佈的分佈 ID。 | 列出 | |||
| ListDistributionsByKeyGroup | 准許列出具有與指定金鑰群組相關快取行為分佈的分佈 ID | 列出 | |||
| ListDistributionsByLambdaFunction [僅限許可] | 准許列出與 Lambda 函數相關聯的發佈 | 列出 | |||
| ListDistributionsByOriginRequestPolicyId | 准許列出具有與指定原始請求政策相關快取行為分佈的分佈 ID | 列出 | |||
| ListDistributionsByRealtimeLogConfig | 准許取得具有與指定的即時日誌組態相關的快取行為的分佈清單 | 列出 | |||
| ListDistributionsByResponseHeadersPolicyId | 准許列出具有與指定回應標頭政策相關快取行為分佈的分佈 ID。 | 列出 | |||
| ListDistributionsByWebACLId | 准許列出與您的 AWS 帳戶 (具有指定 AWS WAF Web ACL) 相關的分佈 | 列出 | |||
| ListFieldLevelEncryptionConfigs | 准許列出 CloudFront 中已為此帳戶建立的所有欄位層級加密組態 | 列出 | |||
| ListFieldLevelEncryptionProfiles | 准許列出 CloudFront 中已為此帳戶建立的所有欄位層級加密設定檔 | 列出 | |||
| ListFunctions | 准許取得 CloudFront 函數清單 | 列出 | |||
| ListInvalidations | 准許列出失效批次 | 列出 | |||
| ListKeyGroups | 准許列出已在 CloudFront 中為此帳戶建立的所有金鑰群組 | 列出 | |||
| ListKeyValueStores | 授予許可取得 CloudFront 函數清單 | 列出 | |||
| ListOriginAccessControls | 准許列出帳戶中的所有原始存取控制 | 列出 | |||
| ListOriginRequestPolicies | 准許列出已在 CloudFront 中為此帳戶建立的所有原始請求政策 | 列出 | |||
| ListPublicKeys | 准許列出已為此帳戶新增到 CloudFront 的所有公有金鑰 | 列出 | |||
| ListRateCards [僅限許可] | 准許列出帳戶的 CloudFront 費率卡 | 列出 | |||
| ListRealtimeLogConfigs | 准許取得即時日誌安全組態清單 | 列出 | |||
| ListResponseHeadersPolicies | 准許列出已在 CloudFront 中為此帳戶建立的所有回應標頭政策 | 列出 | |||
| ListSavingsPlans [僅限許可] | 准許列出帳戶中的 Savings Plans | 列出 | |||
| ListStreamingDistributions | 准許列出 RTMP 分佈 | 列出 | |||
| ListTagsForResource | 准許列出 CloudFront 資源的標籤 | 讀取 | |||
| ListUsages [僅限許可] | 准許列出 CloudFront 用量 | 列出 | |||
| PublishFunction | 准許發佈 CloudFront 函數 | 寫入 | |||
| TagResource | 准許將標籤新增至 CloudFront 資源 | 標記 | |||
| TestFunction | 准許測試 CloudFront 函數 | 寫入 | |||
| UntagResource | 准許從 CloudFront 資源移除標籤 | 標記 | |||
| UpdateCachePolicy | 准許更新快取政策 | 寫入 | |||
| UpdateCloudFrontOriginAccessIdentity | 准許設定 CloudFront 原始存取身分的組態 | 寫入 | |||
| UpdateContinuousDeploymentPolicy | 准許更新 continuous-deployment 政策 | 寫入 | |||
| UpdateDistribution | 准許更新 Web 分佈的組態 | 寫入 | |||
| UpdateFieldLevelEncryptionConfig | 准許更新現場層級加密組態 | 寫入 | |||
| UpdateFieldLevelEncryptionProfile | 准許更新欄位層級加密的設定檔 | 寫入 | |||
| UpdateFunction | 准許更新 CloudFront 函數 | 寫入 | |||
| UpdateKeyGroup | 准許更新金鑰群組 | 寫入 | |||
| UpdateKeyValueStore | 授予許可上傳 CloudFront 公有金鑰 | 寫入 | |||
| UpdateOriginAccessControl | 准許更新原始存取控制 | 寫入 | |||
| UpdateOriginRequestPolicy | 准許更新原始請求政策 | 寫入 | |||
| UpdatePublicKey | 准許更新公有金鑰資訊 | 寫入 | |||
| UpdateRealtimeLogConfig | 准許更新即時日誌安全組態 | 寫入 | |||
| UpdateResponseHeadersPolicy | 准許更新回應標頭政策 | 寫入 | |||
| UpdateSavingsPlan [僅限許可] | 准許更新 Savings Plan | 寫入 | |||
| UpdateStreamingDistribution | 准許更新 RTMP 分佈的組態 | 寫入 |
Amazon CloudFront 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| distribution |
arn:${Partition}:cloudfront::${Account}:distribution/${DistributionId}
|
|
| streaming-distribution |
arn:${Partition}:cloudfront::${Account}:streaming-distribution/${DistributionId}
|
|
| origin-access-identity |
arn:${Partition}:cloudfront::${Account}:origin-access-identity/${Id}
|
|
| field-level-encryption-config |
arn:${Partition}:cloudfront::${Account}:field-level-encryption-config/${Id}
|
|
| field-level-encryption-profile |
arn:${Partition}:cloudfront::${Account}:field-level-encryption-profile/${Id}
|
|
| cache-policy |
arn:${Partition}:cloudfront::${Account}:cache-policy/${Id}
|
|
| origin-request-policy |
arn:${Partition}:cloudfront::${Account}:origin-request-policy/${Id}
|
|
| realtime-log-config |
arn:${Partition}:cloudfront::${Account}:realtime-log-config/${Name}
|
|
| function |
arn:${Partition}:cloudfront::${Account}:function/${Name}
|
|
| key-value-store |
arn:${Partition}:cloudfront::${Account}:key-value-store/${Name}
|
|
| response-headers-policy |
arn:${Partition}:cloudfront::${Account}:response-headers-policy/${Id}
|
|
| origin-access-control |
arn:${Partition}:cloudfront::${Account}:origin-access-control/${Id}
|
|
| continuous-deployment-policy |
arn:${Partition}:cloudfront::${Account}:continuous-deployment-policy/${Id}
|
Amazon CloudFront 條件索引鍵
Amazon CloudFront 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用的全域條件索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在標籤索引鍵來篩選存取 | ArrayOfString |
