AmazonAmazon 的托管政策 CloudFront - Amazon CloudFront
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon 的托管政策 CloudFront

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。仅为用户提供所需权限来创建 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管策略的更多信息,请参阅《IAM 用户指南》中的Amazon 托管策略

Amazon 服务负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当新特征启动或新权限可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon 托管式策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动新特征时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的 Amazon 托管策略

Amazon 托管策略: CloudFrontReadOnlyAccess

您可以将 CloudFrontReadOnlyAccess 策略附加到 IAM 身份。此策略允许对 CloudFront 资源拥有只读权限。它还允许对与控制台相关 CloudFront 并在 CloudFront 控制台中可见的其他Amazon服务资源拥有只读权限。

权限详细信息

该策略包含以下权限。

  • cloudfront:Describe*— 允许委托人获取有关 CloudFront 资源元数据的相关信息。

  • cloudfront:Get*— 允许委托人获取 CloudFront 资源的详细信息和配置。

  • cloudfront:List*— 允许委托人获取 CloudFront资源列表。

  • cloudfront-keyvaluestore:Describe*-允许委托人获取有关键值存储的信息。

  • cloudfront-keyvaluestore:Get*-允许委托人获取密钥值存储库的详细信息和配置。

  • cloudfront-keyvaluestore:List*-允许委托人获取密钥值存储列表。

  • acm:ListCertificates – 允许委托人获取 ACM 证书列表。

  • iam:ListServerCertificates – 允许委托人获取存储在 IAM 中的服务器证书列表。

  • route53:List* – 允许委托人获取 Route 53 资源列表。

  • waf:ListWebACLs – 允许委托人在 Amazon WAF 中获取 Web ACL 列表。

  • waf:GetWebACL – 允许委托人在 Amazon WAF 中获取有关 Web ACL 的详细信息。

  • wafv2:ListWebACLs – 允许委托人在 Amazon WAF 中获取 Web ACL 列表。

  • wafv2:GetWebACL – 允许委托人在 Amazon WAF 中获取有关 Web ACL 的详细信息。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "cfReadOnly", "Effect": "Allow", "Action": [ "acm:ListCertificates", "cloudfront:Describe*", "cloudfront:Get*", "cloudfront:List*", "cloudfront-keyvaluestore:Describe*", "cloudfront-keyvaluestore:Get*", "cloudfront-keyvaluestore:List*", "iam:ListServerCertificates", "route53:List*", "waf:ListWebACLs", "waf:GetWebACL", "wafv2:ListWebACLs", "wafv2:GetWebACL" ], "Resource": "*" } ] }

Amazon 托管式策略: CloudFrontFullAccess

您可以将 CloudFrontFullAccess 策略附加到 IAM 身份。此策略允许对 CloudFront 资源拥有管理权限。它还允许对与控制台相关 CloudFront 并在 CloudFront 控制台中可见的其他Amazon服务资源拥有只读权限。

权限详细信息

该策略包含以下权限。

  • s3:ListAllMyBuckets – 允许委托人获取所有 Amazon S3 存储桶的列表。

  • acm:ListCertificates – 允许委托人获取 ACM 证书列表。

  • cloudfront:*— 允许委托人对所有 CloudFront资源执行所有操作。

  • cloudfront-keyvaluestore:*-允许委托人对键值存储执行所有操作。

  • iam:ListServerCertificates – 允许委托人获取存储在 IAM 中的服务器证书列表。

  • waf:ListWebACLs – 允许委托人在 Amazon WAF 中获取 Web ACL 列表。

  • waf:GetWebACL – 允许委托人在 Amazon WAF 中获取有关 Web ACL 的详细信息。

  • wafv2:ListWebACLs – 允许委托人在 Amazon WAF 中获取 Web ACL 列表。

  • wafv2:GetWebACL – 允许委托人在 Amazon WAF 中获取有关 Web ACL 的详细信息。

  • kinesis:ListStreams – 允许委托人获取 Amazon Kinesis 流的列表。

  • kinesis:DescribeStream – 允许委托人获取有关 Kinesis 流的详细信息。

  • iam:ListRoles – 允许委托人在 IAM 中获取角色列表。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "cfflistbuckets", "Action": [ "s3:ListAllMyBuckets" ], "Effect": "Allow", "Resource": "arn:aws:s3:::*" }, { "Sid": "cffullaccess", "Action": [ "acm:ListCertificates", "cloudfront:*", "cloudfront-keyvaluestore:*", "iam:ListServerCertificates", "waf:ListWebACLs", "waf:GetWebACL", "wafv2:ListWebACLs", "wafv2:GetWebACL", "kinesis:ListStreams" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "cffdescribestream", "Action": [ "kinesis:DescribeStream" ], "Effect": "Allow", "Resource": "arn:aws:kinesis:*:*:*" }, { "Sid": "cfflistroles", "Action": [ "iam:ListRoles" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:*" } ] }

Amazon 托管式策略: AWSCloudFrontLogger

您不能将该AWSCloudFrontLogger策略附加到您的 IAM 身份。此策略附加到允许代表您执行操作 CloudFront 的服务相关角色。有关更多信息,请参阅Lambda@Edge 的服务相关角色

此策略允许将日志文件推送 CloudFront 到 Amazon CloudWatch。有关此策略中包含的权限的详细信息,请参阅Logger 的服务相关角色权限 CloudFront

Amazon 托管式策略: AWSLambdaReplicator

您不能将该AWSLambdaReplicator策略附加到您的 IAM 身份。此策略附加到允许代表您执行操作 CloudFront 的服务相关角色。有关更多信息,请参阅Lambda@Edge 的服务相关角色

此策略 CloudFront 允许创建、删除和禁用中的函数,Amazon Lambda以便将 Lambda @Edge 函数复制到中。Amazon Web Services 区域有关此策略中包含的权限的详细信息,请参阅Lambda Replicator 的服务相关角色权限

对 Amazon 托管式策略的 CloudFront 更新

查看 CloudFront 自该服务开始跟踪这些更改以来Amazon托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ CloudFront 文档历史记录” 页面上的 RSS feed。

更改 描述 日期

CloudFrontReadOnlyAccessCloudFrontFullAccess – 更新了两个现有策略。

CloudFront 为键值存储添加了新的权限。

新的权限允许用户获取有关键值存储的信息并对其采取行动。

2023 年 12 月 19 日

CloudFrontReadOnlyAccess – 更新了现有策略

CloudFront 添加了描述 CloudFront 函数的新权限。

此权限允许用户、群组或角色读取有关函数的信息和元数据,但不能读取函数的代码。

2021 年 9 月 8 日

CloudFront 已开始跟踪更改

CloudFront 开始跟踪其Amazon托管策略的更改。

2021 年 9 月 8 日