Amazon适用于 Amazon CloudFront 的托管式策略
要向用户、组和角色添加权限,与自己编写策略相比,使用Amazon托管式策略更简单。仅为用户提供所需权限来创建 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的Amazon托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon服务负责维护和更新Amazon托管式策略。您无法更改Amazon托管式策略中的权限。服务偶尔会向Amazon托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当新功能启动或新权限可用时,服务最有可能会更新Amazon托管式策略。服务不会从Amazon托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的Amazon托管式策略。
Amazon托管式策略:CloudFrontReadOnlyAccess
您可以将 CloudFrontReadOnlyAccess 策略附加到 IAM 身份。此策略允许 CloudFront 资源的只读权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其他Amazon服务资源的只读权限。
权限详细信息
此策略包含以下权限。
-
cloudfront:DescribeFunction– 允许委托人获取有关 CloudFront 函数的元数据信息。 -
cloudfront:Get*– 允许委托人获取 CloudFront 资源的详细信息和配置。 -
cloudfront:List*– 允许委托人获取 CloudFront 资源列表。 -
acm:ListCertificates– 允许委托人获取 ACM 证书列表。 -
iam:ListServerCertificates– 允许委托人获取存储在 IAM 中的服务器证书列表。 -
route53:List*– 允许委托人获取 Route 53 资源列表。 -
waf:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。Amazon WAF -
waf:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF -
wafv2:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。Amazon WAF -
wafv2:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "acm:ListCertificates", "cloudfront:DescribeFunction", "cloudfront:Get*", "cloudfront:List*", "iam:ListServerCertificates", "route53:List*", "waf:ListWebACLs", "waf:GetWebACL", "wafv2:ListWebACLs", "wafv2:GetWebACL" ], "Resource": "*" } ] }
Amazon托管式策略:CloudFrontFullAccess
您可以将 CloudFrontFullAccess 策略附加到 IAM 身份。此策略允许 CloudFront 资源的管理权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其他Amazon服务资源的只读权限。
权限详细信息
此策略包含以下权限。
-
cloudfront:*– 允许委托人对所有 CloudFront 资源执行所有操作。 -
s3:ListAllMyBuckets– 允许委托人获取所有 Amazon S3 存储桶的列表。 -
acm:ListCertificates– 允许委托人获取 ACM 证书列表。 -
iam:ListServerCertificates– 允许委托人获取存储在 IAM 中的服务器证书列表。 -
waf:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。Amazon WAF -
waf:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF -
wafv2:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。Amazon WAF -
wafv2:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF -
kinesis:ListStreams– 允许委托人获取 Amazon Kinesis 流的列表。 -
kinesis:DescribeStream– 允许委托人获取有关 Kinesis 流的详细信息。 -
iam:ListRoles– 允许委托人在 IAM 中获取角色列表。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListAllMyBuckets" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Action": [ "acm:ListCertificates", "cloudfront:*", "iam:ListServerCertificates", "waf:ListWebACLs", "waf:GetWebACL", "wafv2:ListWebACLs", "wafv2:GetWebACL", "kinesis:ListStreams" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kinesis:DescribeStream" ], "Effect": "Allow", "Resource": "arn:aws:kinesis:*:*:*" }, { "Action": [ "iam:ListRoles" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:*" } ] }
Amazon托管式策略:AWSCloudFrontLogger
您不能将 AWSCloudFrontLogger 策略添加到您的 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 Lambda@Edge 的服务相关角色。
此策略允许 CloudFront 将日志文件推送到 Amazon CloudWatch。有关此策略中包含的权限的详细信息,请参阅CloudFront Logger 的服务相关角色权限。
Amazon托管式策略:AWSLambDAccessReplicator
您不能将 AWSLambdagReplicator 策略添加到 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 Lambda@Edge 的服务相关角色。
此策略允许在 Amazon Lambda 中 CloudFront 创建、删除和禁用函数并将 Lambda@Edge 函数复制到Amazon Web Services 区域。有关此策略中包含的权限的详细信息,请参阅Lambda Replicator 的服务相关角色权限。
CloudFront 对Amazon托管式策略做出的更新
查看有关 CloudFront 的Amazon托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的提示,请订阅文档历史记录页面上的 CloudFront RSS 馈送。
| 更改 | 描述 | 日期 |
|---|---|---|
|
CloudFrontReadOnlyAccess – 对现有策略的更新 |
CloudFront 添加了一个新的权限来描述 CloudFront 函数。 此权限允许用户、组或角色读取有关 CloudFront 函数的信息和元数据,但不能读取函数代码。 |
2021 年 9 月 8 日 |
|
CloudFront 已开启跟踪更改 |
CloudFront 为其Amazon托管式策略开启了更改跟踪。 |
2021 年 9 月 8 日 |