CloudFrontReadOnlyAccess CloudFrontFullAccess AWSCloudFrontLogger AWSLambdaReplicator AWSCloudFrontVPCOriginServiceRolePolicy Actualizaciones de políticas

Políticas administradas de AWS para Amazon CloudFront

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a los usuarios solo los permisos necesarios. Para comenzar rápidamente, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas de AWS. No puede cambiar los permisos de las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una característica nueva o cuando se ofrecen nuevos permisos. Los servicios no eliminan permisos de una política administrada de AWS, de modo que las actualizaciones de las políticas no modificarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada de AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Temas

Política administrada de AWS: CloudFrontReadOnlyAccess
Política administrada de AWS: CloudFrontFullAccess
Política administrada de AWS: AWSCloudFrontLogger
Política administrada de AWS: AWSLambdaReplicator
Política administrada de AWS: AWSCloudFrontVPCOriginServiceRolePolicy
Actualizaciones de CloudFront en políticas administradas de AWS

Política administrada de AWS: CloudFrontReadOnlyAccess

Puede adjuntar la política CloudFrontReadOnlyAccess a las identidades de IAM. Esta política concede permisos de solo lectura para los recursos de CloudFront. También concede permisos de solo lectura para otros recursos de servicios de AWS que estén relacionados con CloudFront y sean visibles en la consola de CloudFront.

Detalles de los permisos

Esta política incluye los siguientes permisos.

cloudfront:Describe*: permite a las entidades principales obtener información acerca de los metadatos de los recursos de CloudFront.
cloudfront:Get*: permite a las entidades principales obtener información y configuraciones detalladas para los recursos de CloudFront.
cloudfront:List*: permite a las entidades principales obtener listas de recursos de CloudFront.
cloudfront-keyvaluestore:Describe*: permite a las entidades principales obtener información sobre el almacén de clave-valor.
cloudfront-keyvaluestore:Get*: permite a las entidades principales obtener información y configuraciones detalladas para el almacén de clave-valor.
cloudfront-keyvaluestore:List*: permite a las entidades principales obtener listas de los almacenes de clave-valor.
acm:DescribeCertificate: permite a las entidades principales obtener detalles sobre un certificado de ACM.
acm:ListCertificates: permite a las entidades principales obtener una lista de certificados de ACM.
iam:ListServerCertificates: permite a las entidades principales obtener una lista de certificados de servidor almacenados en IAM.
route53:List*: permite a las entidades principales obtener listas de recursos de Route 53.
waf:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.
waf:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.
wafv2:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.
wafv2:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.

Para ver los permisos de esta política, consulte CloudFrontReadOnlyAccess en la Referencia de políticas administrada de AWS.

Política administrada de AWS: CloudFrontFullAccess

Puede adjuntar la política CloudFrontFullAccess a las identidades de IAM. Esta política concede permisos administrativos para los recursos de CloudFront. También concede permisos de solo lectura para otros recursos de servicios de AWS que estén relacionados con CloudFront y sean visibles en la consola de CloudFront.

Detalles de los permisos

Esta política incluye los siguientes permisos.

s3:ListAllMyBuckets: permite a las entidades principales obtener una lista de todos los buckets de Amazon S3.
acm:DescribeCertificate: permite a las entidades principales obtener detalles sobre un certificado de ACM.
acm:ListCertificates: permite a las entidades principales obtener una lista de certificados de ACM.
acm:RequestCertificate: permite a las entidades principales solicitar certificados administrados de ACM.
cloudfront:*: permite a las entidades principales realizar todas las acciones en todos los recursos de CloudFront.
cloudfront-keyvaluestore:*: permite a las entidades principales realizar todas las acciones en el almacén de clave-valor.
iam:ListServerCertificates: permite a las entidades principales obtener una lista de certificados de servidor almacenados en IAM.
waf:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.
waf:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.
wafv2:ListWebACLs: permite a las entidades principales obtener una lista de ACL web de AWS WAF.
wafv2:GetWebACL: permite a las entidades principales obtener información detallada acerca de ACL web de AWS WAF.
kinesis:ListStreams: permite a las entidades principales obtener una lista de los flujos de Amazon Kinesis.
ec2:DescribeInstances: permite a las entidades principales obtener información detallada sobre las instancias de Amazon EC2.
elasticloadbalancing:DescribeLoadBalancers: permite a las entidades principales obtener información detallada sobre los equilibradores de carga de Elastic Load Balancing.
ec2:DescribeInternetGateways: permite a las entidades principales obtener información detallada sobre las puertas de enlace de Internet de Amazon EC2.
kinesis:DescribeStream: permite a las entidades principales obtener información detallada acerca de un flujo de Kinesis.
iam:ListRoles: permite a las entidades principales obtener una lista de roles de IAM.

Para ver los permisos de esta política, consulte CloudFrontFullAccess en la Referencia de políticas administrada de AWS.

importante

Si desea que CloudFront cree y guarde registros de acceso, debe conceder permisos adicionales. Para obtener más información, consulte Permisos.

Política administrada de AWS: AWSCloudFrontLogger

No puede adjuntar la política AWSCloudFrontFullAccess a las identidades de IAM. Esta política va adjunta a un rol vinculado a servicio que permite a CloudFront realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios para Lambda@Edge.

Esta política permite a CloudFront insertar archivos de registro en Amazon CloudWatch. Para obtener más detalles acerca de los permisos incluidos en esta política, consulte Permisos de rol vinculado a servicio para el registrador de CloudFront.

Para ver los permisos de esta política, consulte AWSCloudFrontLogger en la Referencia de políticas administradas de AWS.

Política administrada de AWS: AWSLambdaReplicator

No puede adjuntar la política AWSLambdaReplicator a las identidades de IAM. Esta política va adjunta a un rol vinculado a servicio que permite a CloudFront realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios para Lambda@Edge.

Esta política permite a CloudFront crear, eliminar y desactivar funciones en AWS Lambda para replicar las funciones Lambda@Edge a Regiones de AWS. Para obtener más detalles acerca de los permisos incluidos en esta política, consulte Permisos del rol vinculado a servicio para el replicador de Lambda.

Para ver los permisos de esta política, consulte AWSLambdaReplicator en la Referencia de políticas administradas de AWS.

Política administrada de AWS: AWSCloudFrontVPCOriginServiceRolePolicy

No se puede asociar la política AWSCloudFrontVPCOriginServiceRolePolicy a las entidades de IAM. Esta política va adjunta a un rol vinculado a servicio que permite a CloudFront realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para CloudFront.

Esta política permite a CloudFront administrar las interfaces de red elásticas y los grupos de seguridad de EC2 en su nombre. Para obtener más detalles acerca de los permisos incluidos en esta política, consulte Permisos de rol vinculado al servicio para el registrador de Orígenes de la VPC de CloudFront.

Para ver los permisos de esta política, consulte AWSCloudFrontVPCOriginServiceRolePolicy en la Referencia de políticas administradas de AWS.

Actualizaciones de CloudFront en políticas administradas de AWS

Vea los detalles de las actualizaciones de las políticas administradas de AWS para CloudFront desde que este servicio comenzó a hacer un seguimiento de los cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página Historial de revisión de CloudFront.

Cambio	Descripción	Fecha
CloudFrontReadOnlyAccess: actualización de una política actual	CloudFront agregó un nuevo permiso para ACM. El nuevo permiso permite a las entidades principales obtener detalles sobre un certificado de ACM.	28 de abril de 2025
CloudFrontFullAccess: actualización de una política actual	CloudFront ha agregado nuevos permisos para ACM. Los nuevos permisos permiten a las entidades principales obtener detalles sobre un certificado de ACM y solicitar un certificado administrado de ACM.	28 de abril de 2025
CloudFrontFullAccess: actualización de una política actual	CloudFront agregó nuevos permisos para Amazon EC2 y Elastic Load Balancing. Los nuevos permisos permiten a CloudFront obtener información detallada sobre los equilibradores de carga en Elastic Load Balancing y las instancias y puertas de enlace de Internet en Amazon EC2.	20 de noviembre de 2024
AWSCloudFrontVPCOriginServiceRolePolicy: política nueva	CloudFront agregó una nueva política. Esta política permite a CloudFront administrar las interfaces de red elásticas y los grupos de seguridad de EC2 en su nombre.	20 de noviembre de 2024
CloudFrontReadOnlyAccess y CloudFrontFullAccess: actualización de dos políticas existentes	CloudFront ha agregado nuevos permisos para los almacenes de clave-valor. Los nuevos permisos permiten a los usuarios obtener información sobre los almacenes de clave-valor y tomar medidas al respecto.	19 de diciembre de 2023
CloudFrontReadOnlyAccess: actualización de una política existente	CloudFront incorporó un nuevo permiso para describir CloudFront Functions. Con este permiso, el usuario, el grupo o el rol puede leer información y metadatos sobre una función, pero no el código de la función.	8 de septiembre de 2021
CloudFront comenzó hacer un seguimiento de los cambios	CloudFront comenzó a hacer un seguimiento de los cambios de sus políticas administradas de AWS.	8 de septiembre de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

Uso de roles vinculados a servicios