CloudFront API 权限:操作、资源和条件参考
在设置 访问控制 和编写可附加到 IAM 身份的权限策略(基于身份的策略)时,可使用下面的表作为参考。表列出每个 CloudFront API 操作、您可授予执行权限的对应操作以及您可授予权限的 Amazon 资源。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。
您可以在 CloudFront 策略中使用 Amazon 范围的条件键来表达条件。有关 Amazon 范围内的键的完整列表,请参阅《IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys中的可用键。
对分配执行操作所需的权限
- CreateDistribution
-
所需的权限(API 操作):
cloudfront:CreateDistributionacm:ListCertificates(仅限 CloudFront 控制台)仅当您将 CloudFront 配置为保存访问日志时:
s3:GetBucketAcls3:PutBucketAcl存储桶的 S3 ACL 必须向您授予
FULL_CONTROL
资源:
CloudFront:*
ACM:*
Amazon S3:如果您将 CloudFront 配置为保存访问日志,则可以选择限制对指定存储桶的访问。
- CreateDistributionWithTags
-
所需的权限(API 操作):
cloudfront:CreateDistribution,cloudfront:TagResourceacm:ListCertificates(仅限 CloudFront 控制台)仅当您将 CloudFront 配置为保存访问日志时:
s3:GetBucketAcls3:PutBucketAcl存储桶的 S3 ACL 必须向您授予
FULL_CONTROL
资源:
CloudFront:*
ACM:*
Amazon S3:如果您将 CloudFront 配置为保存访问日志,则可以选择限制对指定存储桶的访问。
- GetDistribution
-
所需的权限(API 操作):
cloudfront:GetDistribution、acm:ListCertificates(仅限 CloudFront 控制台)资源:
* - GetDistributionConfig
-
所需的权限(API 操作):
cloudfront:GetDistributionConfig、acm:ListCertificates(仅限 CloudFront 控制台)资源:
* - ListDistributions
-
所需的权限(API 操作):
cloudfront:ListDistributions资源:
* - UpdateDistribution
-
所需的权限(API 操作):
cloudfront:UpdateDistributionacm:ListCertificates(仅限 CloudFront 控制台)仅当您将 CloudFront 配置为保存访问日志时:
s3:GetBucketAcls3:PutBucketAcl存储桶的 S3 ACL 必须向您授予
FULL_CONTROL
资源:
CloudFront:*
ACM:*
Amazon S3:如果您将 CloudFront 配置为保存访问日志,则可以选择限制对指定存储桶的访问。
- DeleteDistribution
-
所需的权限(API 操作):
cloudfront:DeleteDistribution资源:
*
对失效执行操作所需的权限
- CreateInvalidation
-
所需的权限(API 操作):
cloudfront:CreateInvalidation资源:
* - GetInvalidation
-
所需的权限(API 操作):
cloudfront:GetInvalidation资源:
* - ListInvalidations
-
所需的权限(API 操作):
cloudfront:ListInvalidations资源:
*
对源访问身份执行操作所需的权限
- CreateCloudFrontOriginAccessIdentity
-
所需的权限(API 操作):
cloudfront:CreateCloudFrontOriginAccessIdentity资源:
* - GetCloudFrontOriginAccessIdentity
-
所需的权限(API 操作):
cloudfront:GetCloudFrontOriginAccessIdentity资源:
* - GetCloudFrontOriginAccessIdentityConfig
-
所需的权限(API 操作):
cloudfront:GetCloudFrontOriginAccessIdentityConfig资源:
* - ListCloudFrontOriginAccessIdentities
-
所需的权限(API 操作):
cloudfront:ListCloudFrontOriginAccessIdentities资源:
* - UpdateCloudFrontOriginAccessIdentity
-
所需的权限(API 操作):
cloudfront:UpdateCloudFrontOriginAccessIdentity资源:
* - DeleteCloudFrontOriginAccessIdentity
-
所需的权限(API 操作):
cloudfront:DeleteCloudFrontOriginAccessIdentity资源:
*
与 Lambda@Edge 相关的 CloudFront 操作的所需权限
要使用 Lambda@Edge,您需要以下 CloudFront 权限,这样您才能创建或更新包含 Lambda 函数的触发器的分配。
- CreateDistribution
-
所需的权限(API 操作):
cloudfront:CreateDistributionacm:ListCertificates(仅限 CloudFront 控制台)仅当您将 CloudFront 配置为保存访问日志时:
s3:GetBucketAcls3:PutBucketAcl存储桶的 S3 ACL 必须向您授予
FULL_CONTROL
资源:
CloudFront:*
ACM:*
Amazon S3:如果您将 CloudFront 配置为保存访问日志,则可以选择限制对指定存储桶的访问。
- CreateDistributionWithTags
-
所需的权限(API 操作):
cloudfront:CreateDistribution,cloudfront:TagResourceacm:ListCertificates(仅限 CloudFront 控制台)仅当您将 CloudFront 配置为保存访问日志时:
s3:GetBucketAcls3:PutBucketAcl存储桶的 S3 ACL 必须向您授予
FULL_CONTROL
资源:
CloudFront:*
ACM:*
Amazon S3:如果您将 CloudFront 配置为保存访问日志,则可以选择限制对指定存储桶的访问。
- UpdateDistribution
-
所需的权限(API 操作):
cloudfront:UpdateDistributionacm:ListCertificates(仅限 CloudFront 控制台)仅当您将 CloudFront 配置为保存访问日志时:
s3:GetBucketAcls3:PutBucketAcl存储桶的 S3 ACL 必须向您授予
FULL_CONTROL
资源:
CloudFront:*
ACM:*
Amazon S3:如果您将 CloudFront 配置为保存访问日志,则可以选择限制对指定存储桶的访问。
对标签执行操作所需的权限
- TagResource
-
所需的权限(API 操作):
cloudfront:TagResource资源:
* - UntagResource
-
所需的权限(API 操作):
cloudfront:UntagResource资源:
* - ListTagsForResource
-
所需的权限(API 操作):
cloudfront:ListTagsForResource资源:
*