适用于 Amazon CloudFront 的 AWS 托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管策略更简单。仅为用户提供所需权限来创建 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的AWS 托管策略。
AWS 服务负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当新功能启动或新权限可用时,服务最有可能会更新 AWS 托管策略。服务不会从 AWS 托管策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS还支持跨多种服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的AWS托管策略。
主题
AWS托管策略:CloudFrontReadOnlyAccess
您可以将 CloudFrontReadOnlyAccess 策略附加到 IAM 身份。此策略允许 CloudFront 资源的只读权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其它 AWS 服务资源的只读权限。
权限详细信息
该策略包含以下权限。
-
cloudfront:Describe*– 允许委托人获取有关 CloudFront 资源的元数据信息。 -
cloudfront:Get*– 允许委托人获取 CloudFront 资源的详细信息和配置。 -
cloudfront:List*– 允许委托人获取 CloudFront 资源列表。 -
cloudfront-keyvaluestore:Describe*- 允许委托人获取有关键值存储的信息。 -
cloudfront-keyvaluestore:Get*- 允许委托人获取键值存储的详细信息和配置。 -
cloudfront-keyvaluestore:List*- 允许委托人获取键值存储的列表。 -
acm:DescribeCertificate:支持主体获取有关 ACM 证书的详细信息。 -
acm:ListCertificates– 允许委托人获取 ACM 证书列表。 -
iam:ListServerCertificates– 允许委托人获取存储在 IAM 中的服务器证书列表。 -
route53:List*– 允许委托人获取 Route 53 资源列表。 -
waf:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。AWS WAF -
waf:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF -
wafv2:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。AWS WAF -
wafv2:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF -
pricingplanmanager:GetSubscription:允许主体进行只读访问,以获取有关定价方案订阅的详细信息。 -
pricingplanmanager:ListSubscriptions:允许主体进行只读访问,以列出定价方案订阅。 -
ec2:DescribeIpamPools:允许主体获取有关您的 IPAM 池的详细信息。 -
ec2:GetIpamPoolCidrs:允许主体获取预调配到 IPAM 池的 CIDR。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 CloudFrontReadOnlyAccess。
AWS托管策略:CloudFrontFullAccess
您可以将 CloudFrontFullAccess 策略附加到 IAM 身份。此策略允许 CloudFront 资源的管理权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其它 AWS 服务资源的只读权限。
权限详细信息
该策略包含以下权限。
-
s3:ListAllMyBuckets– 允许委托人获取所有 Amazon S3 存储桶的列表。 -
acm:DescribeCertificate:支持主体获取有关 ACM 证书的详细信息。 -
acm:ListCertificates– 允许委托人获取 ACM 证书列表。 -
acm:RequestCertificate:支持主体从 ACM 请求托管式证书。 -
cloudfront:*– 允许委托人对所有 CloudFront 资源执行所有操作。 -
cloudfront-keyvaluestore:*- 允许委托人对键值存储执行所有操作。 -
iam:ListServerCertificates– 允许委托人获取存储在 IAM 中的服务器证书列表。 -
waf:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。AWS WAF -
waf:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF -
waf:CreateWebACLs:允许主体在 AWS WAF 中创建 Web ACL。 -
wafv2:ListWebACLs– 允许委托人在 中获取 Web ACL 列表。AWS WAF -
wafv2:GetWebACL– 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF -
kinesis:ListStreams– 允许委托人获取 Amazon Kinesis 流的列表。 -
elasticloadbalancing:DescribeLoadBalancers:允许主体获取有关 ELB 中负载均衡器的详细信息。 -
kinesis:DescribeStream– 允许委托人获取有关 Kinesis 流的详细信息。 -
iam:ListRoles– 允许委托人在 IAM 中获取角色列表。 -
pricingplanmanager:AssociateResourcesToSubscription:允许主体将资源与订阅相关联。这可让订阅的定价方案涵盖这些资源。 -
pricingplanmanager:CancelSubscription:允许主体取消现有订阅。 -
pricingplanmanager:CancelSubscriptionChange:允许主体在应用更改之前取消对现有订阅的待处理更改(例如,方案升级)。 -
pricingplanmanager:CreateSubscription:允许主体创建定价方案订阅。 -
pricingplanmanager:DisassociateResourcesFromSubscription:允许主体删除资源与现有订阅之间的关联。 -
pricingplanmanager:UpdateSubscription:允许主体修改现有订阅,例如更改定价方案。 -
pricingplanmanager:GetSubscription:允许主体进行只读访问,以获取有关定价方案订阅的详细信息。 -
pricingplanmanager:ListSubscriptions:允许主体进行只读访问,以列出定价方案订阅。 -
ec2:DescribeInstances– 允许主体获取 Amazon EC2 中实例的相关详细信息。 -
ec2:DescribeInternetGateways– 允许主体获取 Amazon EC2 中互联网网关的相关详细信息。 -
ec2:DescribeIpamPools:允许主体获取有关您的 IPAM 池的详细信息。 -
ec2:GetIpamPoolCidrs:允许主体获取预调配到 IPAM 池的 CIDR。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 CloudFrontFullAccess。
重要
如果您希望 CloudFront 创建和保存访问日志,则需要授予其他权限。有关更多信息,请参阅 权限。
AWS 托管策略:AWSCloudFrontLogger
您不能将 AWSCloudFrontLogger 策略添加到您的 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 Lambda@Edge 的服务相关角色。
此策略允许 CloudFront 将日志文件推送到 Amazon CloudWatch。有关此策略中包含的权限的详细信息,请参阅CloudFront Logger 的服务相关角色权限。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSCloudFrontLogger。
AWS托管策略:AWSLambDAccessReplicator
您不能将 AWSLambdagReplicator 策略添加到 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 Lambda@Edge 的服务相关角色。
此策略允许在 AWS Lambda 中 CloudFront 创建、删除和禁用函数并将 Lambda@Edge 函数复制到AWS 区域。有关此策略中包含的权限的详细信息,请参阅Lambda Replicator 的服务相关角色权限。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSLambdaReplicator。
AWS 托管式策略:AWSCloudFrontVPCOriginServiceRolePolicy
您无法将 AWSCloudFrontVPCOriginServiceRolePolicy 策略附加到您的 IAM 实体。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息,请参阅 使用 CloudFront 的服务相关角色。
此策略允许 CloudFront 代表您管理 EC2 弹性网络接口和安全组。有关此策略中包含的权限的详细信息,请参阅CloudFront VPC 源的服务相关角色权限。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》中的 AWSCloudFrontVPCOriginServiceRolePolicy。
CloudFront 对 AWS 托管策略做出的更新
查看有关 CloudFront 的 AWS 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的提示,请订阅文档历史记录页面上的 CloudFront RSS 馈送。
| 更改 | 描述 | 日期 |
|---|---|---|
|
CloudFrontReadOnlyAccess – 对现有策略的更新 |
CloudFront 为 Amazon EC2. 添加了新的权限。 新的权限可让主体使用 |
2025 年 11 月 24 日 |
|
CloudFrontFullAccess - 对现有策略的更新 |
CloudFront 为 Amazon EC2. 添加了新的权限。 新的权限可让主体使用 |
2025 年 11 月 24 日 |
|
CloudFrontFullAccess - 对现有策略的更新 |
CloudFront 添加了用于创建 AWS WAF ACL 资源的新权限,并向 AWS 定价方案管理器添加了创建、更新、删除和读取权限。 |
2025 年 11 月 18 日 |
|
CloudFrontFullAccess - 对现有策略的更新 |
CloudFront 添加了用于创建 AWS WAF ACL 资源的新权限,并向 AWS 定价方案管理器添加了创建、更新、删除和读取权限。 |
2025 年 11 月 18 日 |
|
CloudFrontReadOnlyAccess - 对现有策略的更新 |
CloudFront 新增了权限,用于对 AWS 定价方案管理器进行只读访问。 |
2025 年 11 月 18 日 |
|
CloudFrontReadOnlyAccess - 对现有策略的更新 |
CloudFront 新增了权限,用于对 AWS 定价方案管理器进行只读访问。 |
2025 年 11 月 18 日 |
|
CloudFrontReadOnlyAccess - 对现有策略的更新 |
CloudFront 为 ACM 添加了新权限。 该新权限支持主体获取有关 ACM 证书的详细信息。 |
2025 年 4 月 28 日 |
|
CloudFrontFullAccess - 对现有策略的更新 |
CloudFront 为 ACM 添加了新的权限。 这些新权限支持主体获取有关 ACM 证书的详细信息并从 ACM 请求托管式证书。 |
2025 年 4 月 28 日 |
|
CloudFrontFullAccess - 对现有策略的更新 |
CloudFront 新增了对 Amazon EC2 和 ELB 的权限。 新权限允许 CloudFront 获取 ELB 中的负载均衡器以及 Amazon EC2 中的实例和互联网网关的相关详细信息。 |
2024 年 11 月 20 日 |
|
CloudFront 添加了一个新策略。 此策略允许 CloudFront 代表您管理 EC2 弹性网络接口和安全组。 |
2024 年 11 月 20 日 | |
|
CloudFrontReadOnlyAccess 和 CloudFrontFullAccess – 更新了两个现有策略。 |
CloudFront 为键值存储添加了新权限 新的权限允许用户获取有关键值存储的信息并对键值存储执行操作。 |
2023 年 12 月 19 日 |
|
CloudFrontReadOnlyAccess – 更新了现有策略 |
CloudFront 添加了一个新的权限来描述 CloudFront Functions。 此权限允许用户、组或角色读取有关函数的信息和元数据,但不能读取函数代码。 |
2021 年 9 月 8 日 |
|
CloudFront 已开启跟踪更改 |
CloudFront 为其AWS托管策略开启了更改跟踪。 |
2021 年 9 月 8 日 |
