CloudFrontReadOnlyAccess CloudFrontFullAccess AWSCloudFrontLogger AWSLambdaReplikator AWSCloudDepan VPCOrigin ServiceRolePolicy Pembaruan kebijakan

AWS kebijakan terkelola untuk Amazon CloudFront

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan terkelola pelanggan IAM yang hanya memberi pengguna Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau ketika izin baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

Topik

AWS kebijakan terkelola: CloudFrontReadOnlyAccess
AWS kebijakan terkelola: CloudFrontFullAccess
AWS kebijakan terkelola: AWSCloud FrontLogger
AWS kebijakan terkelola: AWSLambda Replikator
AWS kebijakan terkelola: AWSCloud Depan VPCOrigin ServiceRolePolicy
CloudFront pembaruan kebijakan AWS terkelola

AWS kebijakan terkelola: CloudFrontReadOnlyAccess

Anda dapat melampirkan kebijakan CloudFrontReadOnlyAccess ke identitas IAM Anda. Kebijakan ini mengizinkan izin hanya-baca untuk sumber daya. CloudFront Ini juga memungkinkan izin hanya-baca ke sumber daya AWS layanan lain yang terkait dengan CloudFront dan yang terlihat di konsol. CloudFront

Detail izin

Kebijakan ini mencakup izin berikut.

cloudfront:Describe*— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang metadata tentang sumber daya. CloudFront
cloudfront:Get*— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci dan konfigurasi untuk sumber daya. CloudFront
cloudfront:List*— Memungkinkan kepala sekolah untuk mendapatkan daftar sumber daya. CloudFront
cloudfront-keyvaluestore:Describe*- Memungkinkan kepala sekolah untuk mendapatkan informasi tentang penyimpanan nilai kunci.
cloudfront-keyvaluestore:Get*- Memungkinkan prinsipal untuk mendapatkan informasi rinci dan konfigurasi untuk penyimpanan nilai kunci.
cloudfront-keyvaluestore:List*- Memungkinkan kepala sekolah untuk mendapatkan daftar toko nilai utama.
acm:DescribeCertificate— Memungkinkan kepala sekolah untuk mendapatkan rincian tentang sertifikat ACM.
acm:ListCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat ACM.
iam:ListServerCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat server yang disimpan di IAM.
route53:List*— Memungkinkan kepala sekolah untuk mendapatkan daftar sumber daya Route 53.
waf:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar web di. ACLs AWS WAF
waf:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang web di. ACLs AWS WAF
wafv2:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar web di. ACLs AWS WAF
wafv2:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang web di. ACLs AWS WAF

Untuk melihat izin kebijakan ini, lihat CloudFrontReadOnlyAccessdi Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: CloudFrontFullAccess

Anda dapat melampirkan kebijakan CloudFrontFullAccess ke identitas IAM Anda. Kebijakan ini memungkinkan izin administratif untuk CloudFront sumber daya. Ini juga memungkinkan izin hanya-baca ke sumber daya AWS layanan lain yang terkait dengan CloudFront dan yang terlihat di konsol. CloudFront

Detail izin

Kebijakan ini mencakup izin berikut.

s3:ListAllMyBuckets— Memungkinkan kepala sekolah untuk mendapatkan daftar semua ember Amazon S3.
acm:DescribeCertificate— Memungkinkan kepala sekolah untuk mendapatkan rincian tentang sertifikat ACM.
acm:ListCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat ACM.
acm:RequestCertificate— Memungkinkan kepala sekolah untuk meminta sertifikat terkelola dari ACM.
cloudfront:*— Memungkinkan kepala sekolah untuk melakukan semua tindakan pada semua sumber daya. CloudFront
cloudfront-keyvaluestore:*- Memungkinkan prinsipal untuk melakukan semua tindakan pada penyimpanan nilai kunci.
iam:ListServerCertificates— Memungkinkan kepala sekolah untuk mendapatkan daftar sertifikat server yang disimpan di IAM.
waf:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar web di. ACLs AWS WAF
waf:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang web di. ACLs AWS WAF
wafv2:ListWebACLs— Memungkinkan kepala sekolah untuk mendapatkan daftar web di. ACLs AWS WAF
wafv2:GetWebACL— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang web di. ACLs AWS WAF
kinesis:ListStreams— Memungkinkan kepala sekolah untuk mendapatkan daftar aliran Amazon Kinesis.
ec2:DescribeInstances- Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang instans di Amazon. EC2
elasticloadbalancing:DescribeLoadBalancers- Memungkinkan prinsipal untuk mendapatkan informasi rinci tentang penyeimbang beban di Elastic Load Balancing.
ec2:DescribeInternetGateways- Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang gateway internet di Amazon. EC2
kinesis:DescribeStream— Memungkinkan kepala sekolah untuk mendapatkan informasi rinci tentang aliran Kinesis.
iam:ListRoles— Memungkinkan kepala sekolah untuk mendapatkan daftar peran di IAM.

Untuk melihat izin kebijakan ini, lihat CloudFrontFullAccessdi Referensi Kebijakan AWS Terkelola.

penting

Jika Anda CloudFront ingin membuat dan menyimpan log akses, Anda perlu memberikan izin tambahan. Untuk informasi selengkapnya, lihat Izin.

AWS kebijakan terkelola: AWSCloud FrontLogger

Anda tidak dapat melampirkan AWSCloudFrontLoggerkebijakan ke identitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudFront untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Lambda @Edge.

Kebijakan ini memungkinkan CloudFront untuk mendorong file log ke Amazon CloudWatch. Untuk detail tentang izin yang disertakan dalam kebijakan ini, lihatIzin peran terkait layanan untuk logger CloudFront.

Untuk melihat izin kebijakan ini, lihat AWSCloudFrontLoggerdi Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSLambda Replikator

Anda tidak dapat melampirkan kebijakan AWSLambdaReplicator ke identitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudFront untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Lambda @Edge.

Kebijakan ini memungkinkan CloudFront untuk membuat, menghapus, dan menonaktifkan fungsi AWS Lambda untuk mereplikasi fungsi Lambda @Edge. Wilayah AWS Untuk detail tentang izin yang disertakan dalam kebijakan ini, lihatIzin peran terkait layanan untuk replikator Lambda.

Untuk melihat izin kebijakan ini, lihat AWSLambdaReplikator di Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSCloud Depan VPCOrigin ServiceRolePolicy

Anda tidak dapat melampirkan VPCOrigin ServiceRolePolicy kebijakan AWSCloudFront ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan CloudFront untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Gunakan peran terkait layanan untuk CloudFront.

Kebijakan ini memungkinkan CloudFront untuk mengelola antarmuka jaringan EC2 elastis dan grup keamanan atas nama Anda. Untuk detail tentang izin yang disertakan dalam kebijakan ini, lihatIzin peran terkait layanan untuk VPC Origins CloudFront .

Untuk melihat izin kebijakan ini, lihat AWSCloudBagian Depan VPCOrigin ServiceRolePolicy di Referensi Kebijakan AWS Terkelola.

CloudFront pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola CloudFront sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat CloudFront dokumen.

Perubahan	Deskripsi	Tanggal
CloudFrontReadOnlyAccess – Pembaruan ke kebijakan yang sudah ada	CloudFront menambahkan izin baru untuk ACM. Izin baru memungkinkan kepala sekolah untuk mendapatkan rincian tentang sertifikat ACM.	April 28, 2025
CloudFrontFullAccess – Pembaruan ke kebijakan yang sudah ada	CloudFront menambahkan izin baru untuk ACM. Izin baru memungkinkan kepala sekolah untuk mendapatkan rincian tentang sertifikat ACM dan meminta sertifikat terkelola dari ACM.	April 28, 2025
CloudFrontFullAccess – Pembaruan ke kebijakan yang sudah ada	CloudFront menambahkan izin baru untuk Amazon EC2 dan Elastic Load Balancing. Izin baru memungkinkan CloudFront untuk mendapatkan informasi terperinci tentang penyeimbang beban di Elastic Load Balancing dan instans serta gateway internet di Amazon. EC2	November 20, 2024
AWSCloudFront VPCOrigin ServiceRolePolicy — Kebijakan baru	CloudFront menambahkan kebijakan baru. Kebijakan ini memungkinkan CloudFront untuk mengelola antarmuka jaringan EC2 elastis dan grup keamanan atas nama Anda.	November 20, 2024
CloudFrontReadOnlyAccessdan CloudFrontFullAccess - Perbarui ke dua kebijakan yang ada.	CloudFront menambahkan izin baru untuk penyimpanan nilai utama. Izin baru memungkinkan pengguna untuk mendapatkan informasi tentang, dan mengambil tindakan pada, penyimpanan nilai utama.	Desember 19, 2023
CloudFrontReadOnlyAccess – Pembaruan ke kebijakan yang ada	CloudFront menambahkan izin baru untuk menggambarkan CloudFront Fungsi. Izin ini memungkinkan pengguna, grup, atau peran untuk membaca informasi dan metadata tentang suatu fungsi, tetapi bukan kode fungsi.	8 September 2021
CloudFront mulai melacak perubahan	CloudFront mulai melacak perubahan untuk kebijakan AWS terkelolanya.	8 September 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis identitas

Gunakan peran tertaut layanan