CloudFrontReadOnlyAccess CloudFrontFullAccess AWSCloudFrontLogger AWSLambdaReplicator AWSCloudFrontVPCOriginServiceRolePolicy Atualizações da política

Políticas gerenciadas pela AWS para Amazon CloudFront

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem aos seus usuários apenas as permissões de que eles precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas permissões estiverem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspenderão suas permissões existentes.

Além disso, a AWS é compatível com políticas gerenciadas por perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess política gerenciada pela AWS fornece acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

Tópicos

Política gerenciada pela AWS: CloudFrontReadOnlyAccess
Política gerenciada pela AWS: CloudFrontFullAccess
Política gerenciada pela AWS: AWSCloudFrontLogger
Política gerenciada pela AWS: AWSLambdaReplicator
Política gerenciada pela AWS: AWSCloudFrontVPCOriginServiceRolePolicy
Atualizações do CloudFront em políticas gerenciadas pela AWS

Política gerenciada pela AWS: CloudFrontReadOnlyAccess

Você pode anexar a política CloudFrontReadOnlyAccess a suas identidades do IAM. Essa política concede permissões somente leitura aos recursos do CloudFront. Ela também concede permissões somente leitura a outros recursos de serviços da AWS que estão relacionados ao CloudFront e são visíveis no console do CloudFront.

Detalhes das permissões

Esta política inclui as seguintes permissões.

cloudfront:Describe*: permite que as entidades principais obtenham informações sobre metadados de recursos do CloudFront.
cloudfront:Get*: permite que os principais obtenham informações detalhadas e configurações para recursos do CloudFront.
cloudfront:List*: permite que os principais obtenham listas de recursos do CloudFront.
cloudfront-keyvaluestore:Describe*: permite que as entidades principais obtenham informações sobre armazenamento de chave-valor.
cloudfront-keyvaluestore:Get*: permite que as entidades principais obtenham informações detalhadas e configurações para o armazenamento de chave-valor.
cloudfront-keyvaluestore:List*: permite que as entidades principais obtenham listas de armazenamentos de chave-valor.
acm:DescribeCertificate: permite que as entidades principais obtenham detalhes sobre o certificado do ACM.
acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.
iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.
route53:List*: permite que os principais obtenham listas de recursos do Route 53.
waf:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.
waf:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.
wafv2:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.
wafv2:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.

Para visualizar as permissões para essa política, consulte CloudFrontReadOnlyAccess na Referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: CloudFrontFullAccess

Você pode anexar a política CloudFrontFullAccess a suas identidades do IAM. Essa política concede permissões administrativas aos recursos do CloudFront. Ela também concede permissões somente leitura a outros recursos de serviços da AWS que estão relacionados ao CloudFront e são visíveis no console do CloudFront.

Detalhes das permissões

Esta política inclui as seguintes permissões.

s3:ListAllMyBuckets: permite que os principais obtenham uma lista de todos os buckets do Amazon S3.
acm:DescribeCertificate: permite que as entidades principais obtenham detalhes sobre o certificado do ACM.
acm:ListCertificates: permite que os principais obtenham uma lista de certificados do ACM.
acm:RequestCertificate: permite que as entidades principais solicitem certificados gerenciados do ACM.
cloudfront:*: permite que os principais realizem todas as ações em todos os recursos do CloudFront.
cloudfront-keyvaluestore:*: permite que as entidades principais realizem todas as ações no armazenamento de chave-valor.
iam:ListServerCertificates: permite que os principais obtenham uma lista de certificados de servidor armazenados no IAM.
waf:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.
waf:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.
wafv2:ListWebACLs: permite que os principais obtenham uma lista de ACLs da Web no AWS WAF.
wafv2:GetWebACL: permite que os principais obtenham informações detalhadas sobre ACLs da Web noAWS WAF.
kinesis:ListStreams: permite que as entidades principais obtenham uma lista de fluxos do Amazon Kinesis.
ec2:DescribeInstances: permite que as entidades principais obtenham detalhes sobre instâncias no Amazon EC2.
elasticloadbalancing:DescribeLoadBalancers: permite que as entidades principais obtenham informações detalhadas sobre balanceadores de carga no Elastic Load Balancing.
ec2:DescribeInternetGateways: permite que as entidades principais obtenham informações detalhadas sobre gateways da internet no Amazon EC2.
kinesis:DescribeStream: permite que os principais obtenham informações detalhadas sobre um fluxo do Kinesis.
iam:ListRoles: permite que os principais obtenham uma lista de funções no IAM.

Para visualizar as permissões para essa política, consulte CloudFrontFullAccess na Referência de políticas gerenciadas pela AWS.

Importante

Para que o CloudFront crie e salve logs de acesso, você precisa conceder outras permissões. Para obter mais informações, consulte Permissões.

Política gerenciada pela AWS: AWSCloudFrontLogger

Não é possível anexar a política AWSCloudFrontLogger a suas identidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para obter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge.

Essa política permite que o CloudFront envie arquivos de log para o Amazon CloudWatch. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o CloudFront Logger.

Para visualizar as permissões dessa política, consulte AWSCloudFrontLogger na Referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSLambdaReplicator

Não é possível anexar a política AWSLambdaReplicator a suas identidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para obter mais informações, consulte Funções vinculadas ao serviço para o Lambda@Edge.

Esta política permite que o CloudFront crie, exclua e desabilite funções no AWS Lambda para replicar funções do Lambda@Edge para Regiões da AWS. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de função vinculada ao serviço para o replicador do Lambda.

Para visualizar as permissões dessa política, consulte AWSLambdaReplicator na Referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AWSCloudFrontVPCOriginServiceRolePolicy

Não é possível anexar AWSCloudFrontVPCOriginServiceRolePolicy a suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o CloudFront realize ações em seu nome. Para obter mais informações, consulte Perfis vinculados ao serviço do CloudFront.

Essa política permite que o CloudFront gerencie interfaces de rede elástica e grupos de segurança do EC2 em seu nome. Para obter detalhes sobre as permissões incluídas nesta política, consulte Permissões de perfil vinculado ao serviço para o CloudFront VPC Origins.

Para exibir as permissões dessa política, consulte AWSCloudFrontVPCOriginServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

Atualizações do CloudFront em políticas gerenciadas pela AWS

Veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o CloudFront desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Document history (Histórico de documentos) do CloudFront.

Alteração	Descrição	Data
CloudFrontReadOnlyAccess: atualizar para uma política existente.	O CloudFront adicionou uma nova permissão para o ACM. A nova permissão possibilita que as entidades principais obtenham detalhes sobre um certificado do ACM.	28 de abril de 2025
CloudFrontFullAccess: atualizar para uma política existente.	O CloudFront adicionou novas permissões para o ACM. As novas permissões possibilitam que as entidades principais obtenham detalhes sobre um certificado do ACM e solicitem um certificado gerenciado do ACM.	28 de abril de 2025
CloudFrontFullAccess: atualizar para uma política existente.	O CloudFront adicionou novas permissões para o Amazon EC2 e o Elastic Load Balancing. Essas novas permissões possibilitam que o CloudFront obtenha informações detalhadas sobre balanceadores de carga no Elastic Load Balancing e instâncias e gateways da internet no Amazon EC2.	20 de novembro de 2024
AWSCloudFrontVPCOriginServiceRolePolicy: nova política	O CloudFront adicionou uma nova política. Essa política permite que o CloudFront gerencie interfaces de rede elástica e grupos de segurança do EC2 em seu nome.	20 de novembro de 2024
CloudFrontReadOnlyAccess e CloudFrontFullAccess: atualização em duas políticas existentes.	O CloudFront adicionou novas permissões para armazenamentos de chave-valor. As novas permissões permitem que os usuários obtenham informações e ajam em armazenamentos de chave-valor.	19 de dezembro de 2023
CloudFrontReadOnlyAccess: atualização em uma política existente	O CloudFront adicionou uma nova permissão para descrever as CloudFront Functions. Ela permite que o usuário, grupo ou perfil leia informações e metadados sobre uma função, mas não o código da função.	8 de setembro de 2021
CloudFront começa a monitorar alterações	CloudFront começa a monitorar alterações para suas políticas gerenciadas pela AWS.	8 de setembro de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

Usar perfis vinculados a serviços