适用于 Amazon CloudFront 的 Amazon 托管策略 - Amazon CloudFront
CloudFrontReadOnlyAccessCloudFrontFullAccessAWSCloudFrontLoggerAWSLambdagReplicatorAWSCloudFrontVPCOriginServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon CloudFront 的 Amazon 托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。仅为用户提供所需权限来创建 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅《IAM 用户指南》中的Amazon 托管策略

Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当新功能启动或新权限可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新特征时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的Amazon托管策略

Amazon托管策略:CloudFrontReadOnlyAccess

您可以将 CloudFrontReadOnlyAccess 策略附加到 IAM 身份。此策略允许 CloudFront 资源的只读权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其它 Amazon 服务资源的只读权限。

权限详细信息

该策略包含以下权限。

  • cloudfront:Describe* – 允许委托人获取有关 CloudFront 资源的元数据信息。

  • cloudfront:Get* – 允许委托人获取 CloudFront 资源的详细信息和配置。

  • cloudfront:List* – 允许委托人获取 CloudFront 资源列表。

  • cloudfront-keyvaluestore:Describe* - 允许委托人获取有关键值存储的信息。

  • cloudfront-keyvaluestore:Get* - 允许委托人获取键值存储的详细信息和配置。

  • cloudfront-keyvaluestore:List* - 允许委托人获取键值存储的列表。

  • acm:DescribeCertificate:支持主体获取有关 ACM 证书的详细信息。

  • acm:ListCertificates – 允许委托人获取 ACM 证书列表。

  • iam:ListServerCertificates – 允许委托人获取存储在 IAM 中的服务器证书列表。

  • route53:List* – 允许委托人获取 Route 53 资源列表。

  • waf:ListWebACLs – 允许委托人在 中获取 Web ACL 列表。Amazon WAF

  • waf:GetWebACL – 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF

  • wafv2:ListWebACLs – 允许委托人在 中获取 Web ACL 列表。Amazon WAF

  • wafv2:GetWebACL – 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF

  • pricingplanmanager:GetSubscription:允许主体进行只读访问,以获取有关定价方案订阅的详细信息。

  • pricingplanmanager:ListSubscriptions:允许主体进行只读访问,以列出定价方案订阅。

  • ec2:DescribeIpamPools:允许主体获取有关您的 IPAM 池的详细信息。

  • ec2:GetIpamPoolCidrs:允许主体获取预调配到 IPAM 池的 CIDR。

要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 CloudFrontReadOnlyAccess

Amazon托管策略:CloudFrontFullAccess

您可以将 CloudFrontFullAccess 策略附加到 IAM 身份。此策略允许 CloudFront 资源的管理权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其它 Amazon 服务资源的只读权限。

权限详细信息

该策略包含以下权限。

  • s3:ListAllMyBuckets – 允许委托人获取所有 Amazon S3 存储桶的列表。

  • acm:DescribeCertificate:支持主体获取有关 ACM 证书的详细信息。

  • acm:ListCertificates – 允许委托人获取 ACM 证书列表。

  • acm:RequestCertificate:支持主体从 ACM 请求托管式证书。

  • cloudfront:* – 允许委托人对所有 CloudFront 资源执行所有操作。

  • cloudfront-keyvaluestore:* - 允许委托人对键值存储执行所有操作。

  • iam:ListServerCertificates – 允许委托人获取存储在 IAM 中的服务器证书列表。

  • waf:ListWebACLs – 允许委托人在 中获取 Web ACL 列表。Amazon WAF

  • waf:GetWebACL – 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF

  • waf:CreateWebACLs:允许主体在 Amazon WAF 中创建 Web ACL。

  • wafv2:ListWebACLs – 允许委托人在 中获取 Web ACL 列表。Amazon WAF

  • wafv2:GetWebACL – 允许委托人在 中获取有关 Web ACL 的详细信息。Amazon WAF

  • kinesis:ListStreams – 允许委托人获取 Amazon Kinesis 流的列表。

  • elasticloadbalancing:DescribeLoadBalancers:允许主体获取有关 ELB 中负载均衡器的详细信息。

  • kinesis:DescribeStream – 允许委托人获取有关 Kinesis 流的详细信息。

  • iam:ListRoles – 允许委托人在 IAM 中获取角色列表。

  • pricingplanmanager:AssociateResourcesToSubscription:允许主体将资源与订阅相关联。这可让订阅的定价方案涵盖这些资源。

  • pricingplanmanager:CancelSubscription:允许主体取消现有订阅。

  • pricingplanmanager:CancelSubscriptionChange:允许主体在应用更改之前取消对现有订阅的待处理更改(例如,方案升级)。

  • pricingplanmanager:CreateSubscription:允许主体创建定价方案订阅。

  • pricingplanmanager:DisassociateResourcesFromSubscription:允许主体删除资源与现有订阅之间的关联。

  • pricingplanmanager:UpdateSubscription:允许主体修改现有订阅,例如更改定价方案。

  • pricingplanmanager:GetSubscription:允许主体进行只读访问,以获取有关定价方案订阅的详细信息。

  • pricingplanmanager:ListSubscriptions:允许主体进行只读访问,以列出定价方案订阅。

  • ec2:DescribeInstances – 允许主体获取 Amazon EC2 中实例的相关详细信息。

  • ec2:DescribeInternetGateways – 允许主体获取 Amazon EC2 中互联网网关的相关详细信息。

  • ec2:DescribeIpamPools:允许主体获取有关您的 IPAM 池的详细信息。

  • ec2:GetIpamPoolCidrs:允许主体获取预调配到 IPAM 池的 CIDR。

要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 CloudFrontFullAccess

重要

如果您希望 CloudFront 创建和保存访问日志,则需要授予其他权限。有关更多信息,请参阅 权限

Amazon 托管策略:AWSCloudFrontLogger

您不能将 AWSCloudFrontLogger 策略添加到您的 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 Lambda@Edge 的服务相关角色

此策略允许 CloudFront 将日志文件推送到 Amazon CloudWatch。有关此策略中包含的权限的详细信息,请参阅CloudFront Logger 的服务相关角色权限

要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AWSCloudFrontLogger

Amazon托管策略:AWSLambDAccessReplicator

您不能将 AWSLambdagReplicator 策略添加到 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 Lambda@Edge 的服务相关角色

此策略允许在 Amazon Lambda 中 CloudFront 创建、删除和禁用函数并将 Lambda@Edge 函数复制到Amazon Web Services 区域。有关此策略中包含的权限的详细信息,请参阅Lambda Replicator 的服务相关角色权限

要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AWSLambdaReplicator

Amazon 托管式策略:AWSCloudFrontVPCOriginServiceRolePolicy

您无法将 AWSCloudFrontVPCOriginServiceRolePolicy 策略附加到您的 IAM 实体。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 使用 CloudFront 的服务相关角色

此策略允许 CloudFront 代表您管理 EC2 弹性网络接口和安全组。有关此策略中包含的权限的详细信息,请参阅CloudFront VPC 源的服务相关角色权限

要查看此策略的权限,请参阅《Amazon Managed Policy Reference》中的 AWSCloudFrontVPCOriginServiceRolePolicy

CloudFront 对 Amazon 托管策略做出的更新

查看有关 CloudFront 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的提示,请订阅文档历史记录页面上的 CloudFront RSS 馈送。

更改 描述 日期

CloudFrontReadOnlyAccess – 对现有策略的更新

CloudFront 为 Amazon EC2. 添加了新的权限。

新的权限可让主体使用 ec2:DescribeIpamPoolsec2:GetIpamPoolCidrs 操作。

 2025 年 11 月 24 日

CloudFrontFullAccess - 对现有策略的更新

CloudFront 为 Amazon EC2. 添加了新的权限。

新的权限可让主体使用 ec2:DescribeIpamPoolsec2:GetIpamPoolCidrs 操作。

 2025 年 11 月 24 日

CloudFrontFullAccess - 对现有策略的更新

CloudFront 添加了用于创建 Amazon WAF ACL 资源的新权限,并向 Amazon 定价方案管理器添加了创建、更新、删除和读取权限。

 2025 年 11 月 18 日

CloudFrontFullAccess - 对现有策略的更新

CloudFront 添加了用于创建 Amazon WAF ACL 资源的新权限,并向 Amazon 定价方案管理器添加了创建、更新、删除和读取权限。

 2025 年 11 月 18 日

CloudFrontReadOnlyAccess - 对现有策略的更新

CloudFront 新增了权限,用于对 Amazon 定价方案管理器进行只读访问。

 2025 年 11 月 18 日

CloudFrontReadOnlyAccess - 对现有策略的更新

CloudFront 新增了权限,用于对 Amazon 定价方案管理器进行只读访问。

 2025 年 11 月 18 日

CloudFrontReadOnlyAccess - 对现有策略的更新

CloudFront 为 ACM 添加了新权限。

该新权限支持主体获取有关 ACM 证书的详细信息。

 2025 年 4 月 28 日

CloudFrontFullAccess - 对现有策略的更新

CloudFront 为 ACM 添加了新的权限。

这些新权限支持主体获取有关 ACM 证书的详细信息并从 ACM 请求托管式证书。

 2025 年 4 月 28 日

CloudFrontFullAccess - 对现有策略的更新

CloudFront 新增了对 Amazon EC2 和 ELB 的权限。

新权限允许 CloudFront 获取 ELB 中的负载均衡器以及 Amazon EC2 中的实例和互联网网关的相关详细信息。

 2024 年 11 月 20 日

AWSCloudFrontVPCOriginServiceRolePolicy – 新策略

CloudFront 添加了一个新策略。

此策略允许 CloudFront 代表您管理 EC2 弹性网络接口和安全组。

 2024 年 11 月 20 日

CloudFrontReadOnlyAccessCloudFrontFullAccess – 更新了两个现有策略。

CloudFront 为键值存储添加了新权限

新的权限允许用户获取有关键值存储的信息并对键值存储执行操作。

 2023 年 12 月 19 日

CloudFrontReadOnlyAccess – 更新了现有策略

CloudFront 添加了一个新的权限来描述 CloudFront Functions。

此权限允许用户、组或角色读取有关函数的信息和元数据,但不能读取函数代码。

 2021 年 9 月 8 日

CloudFront 已开启跟踪更改

CloudFront 为其Amazon托管策略开启了更改跟踪。

 2021 年 9 月 8 日