Amazon CloudFront 動作、資源和條件索引鍵

Amazon CloudFront (服務字首：cloudfront) 提供下列服務特有的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

Amazon CloudFront 定義的動作
Amazon CloudFront 定義的資源類型
Amazon CloudFront 條件索引鍵

Amazon CloudFront 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

動作資料表的存取層級欄說明動作的分類方式（列出、讀取、許可管理或標記）。此分類可協助您了解在政策中使用某動作時，該動作授予您的存取層級。如需存取層級的詳細資訊，請參閱政策摘要中的存取層級。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外，還可能需要這些許可。當動作指定相依動作時，這些相依性可能適用於針對該動作定義的其他資源，而不只是資料表中列出的第一個資源。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AllowVendedLogDeliveryForResource [僅限許可]	准許設定分佈的付費日誌交付	許可管理	distribution
AssociateAlias	准許將別名與 CloudFront 分佈建立關聯	寫入	distribution*
AssociateDistributionTenantWebACL	准許將分佈租用戶與 AWS WAF Web ACL 建立關聯	寫入	distribution-tenant*
AssociateDistributionWebACL	准許將分佈與 AWS WAF Web ACL 建立關聯	寫入	distribution*
CopyDistribution	准許複製現有分佈並建立新的 Web 分佈	寫入	distribution*		cloudfront:CopyDistribution cloudfront:CreateDistribution cloudfront:GetDistribution
CreateAnycastIpList	准許建立 Anycast 靜態 IP 清單	寫入	anycast-ip-list*
CreateAnycastIpList	准許建立 Anycast 靜態 IP 清單	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateCachePolicy	准許將新的快取政策新增至 CloudFront	寫入	cache-policy*
CreateCloudFrontOriginAccessIdentity	准許建立新的 CloudFront 原始存取身分	寫入	origin-access-identity*
CreateConnectionGroup	准許建立連線群組	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateContinuousDeploymentPolicy	准許將新的 continuous-deployment 政策新增至 CloudFront	寫入	continuous-deployment-policy*
CreateDistribution	准許建立新的 Web 分佈	寫入	distribution*		cloudfront:CreateConnectionGroup
CreateDistributionTenant	准許建立分佈租用戶	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateFieldLevelEncryptionConfig	准許建立新的欄位層級加密組態	寫入
CreateFieldLevelEncryptionProfile	准許建立欄位層級加密的設定檔	寫入
CreateFunction	准許建立 CloudFront 函數	寫入	function*
CreateInvalidation	准許建立新的失效批次請求	寫入	distribution*
CreateInvalidationForDistributionTenant	准許為分發租用戶建立失效	寫入	distribution-tenant*
CreateKeyGroup	准許將新的金鑰群組新增至 CloudFront	寫入
CreateKeyValueStore	授予許可將新的金鑰群組新增至 CloudFront	寫入	key-value-store*
CreateMonitoringSubscription	准許針對指定的 CloudFront 分佈啟用其他 CloudWatch 指標。額外指標會產生額外費用	寫入
CreateOriginAccessControl	准許建立新原始存取控制	寫入
CreateOriginRequestPolicy	准許將新的原始請求政策新增至 CloudFront	寫入	origin-request-policy*
CreatePublicKey	准許將新的公有金鑰新增至 CloudFront	寫入
CreateRealtimeLogConfig	准許建立即時日誌安全組態	寫入	realtime-log-config*
CreateResponseHeadersPolicy	准許將新的回應標頭政策新增至 CloudFront	寫入	response-headers-policy*
CreateSavingsPlan [僅限許可]	准許建立新 Savings Plan	寫入
CreateStreamingDistribution	准許建立新的 RTMP 分佈	寫入	streaming-distribution*
CreateStreamingDistributionWithTags	准許建立包含標籤的新 RTMP 分佈	寫入	streaming-distribution*
CreateStreamingDistributionWithTags	准許建立包含標籤的新 RTMP 分佈	寫入		aws:RequestTag/${TagKey} aws:TagKeys
CreateVpcOrigin	准許建立 VPC 原始伺服器	寫入		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAnycastIpList	准許刪除 Anycast 靜態 IP 清單	寫入	anycast-ip-list*
DeleteCachePolicy	准許刪除快取政策	寫入	cache-policy*
DeleteCloudFrontOriginAccessIdentity	准許刪除 CloudFront 原始存取身分	寫入	origin-access-identity*
DeleteConnectionGroup	准許刪除連線群組	寫入	connection-group*
DeleteContinuousDeploymentPolicy	准許刪除 continuous-deployment 政策	寫入	continuous-deployment-policy*
DeleteDistribution	准許刪除 Web 分佈	寫入	distribution*
DeleteDistributionTenant	准許刪除分佈租用戶	寫入	distribution-tenant*
DeleteFieldLevelEncryptionConfig	准許刪除欄位層級加密組態	寫入	field-level-encryption-config*
DeleteFieldLevelEncryptionProfile	准許刪除欄位層級加密的設定檔	寫入	field-level-encryption-profile*
DeleteFunction	准許刪除 CloudFront 函數	寫入	function*
DeleteKeyGroup	准許刪除金鑰群組	寫入
DeleteKeyValueStore	授予許可刪除 CloudFront 的公有金鑰	寫入	key-value-store*
DeleteMonitoringSubscription	准許針對指定的 CloudFront 分佈停用其他 CloudWatch 指標	寫入
DeleteOriginAccessControl	准許刪除原始存取控制	寫入	origin-access-control*
DeleteOriginRequestPolicy	准許刪除原始請求政策	寫入	origin-request-policy*
DeletePublicKey	准許刪除 CloudFront 的公有金鑰	寫入
DeleteRealtimeLogConfig	准許刪除即時日誌安全組態	寫入	realtime-log-config*
DeleteResponseHeadersPolicy	准許刪除回應標頭政策	寫入	response-headers-policy*
DeleteStreamingDistribution	准許刪除 RTMP 分佈	寫入	streaming-distribution*
DeleteVpcOrigin	准許刪除 VPC 原始伺服器	寫入	vpcorigin*
DescribeFunction	准許取得 CloudFront 函數摘要	閱讀	function*
DescribeKeyValueStore	授予許可取得 CloudFront 函數摘要	閱讀	key-value-store*
DisassociateDistributionTenantWebACL	准許取消分佈租用戶與 AWS WAF Web ACL 的關聯	寫入	distribution-tenant*
DisassociateDistributionWebACL	准許取消分佈與 AWS WAF Web ACL 的關聯	寫入	distribution*
GetAnycastIpList	准許取得 Anycast 靜態 IP 清單	閱讀	anycast-ip-list*
GetCachePolicy	准許取得快取政策	讀取	cache-policy*
GetCachePolicyConfig	准許取得快取政策組態	讀取	cache-policy*
GetCloudFrontOriginAccessIdentity	准許取得 CloudFront 原始存取身分的相關資訊	讀取	origin-access-identity*
GetCloudFrontOriginAccessIdentityConfig	准許取得 CloudFront 原始存取身分的相關組態資訊	閱讀	origin-access-identity*
GetConnectionGroup	准許取得連線群組的相關資訊	閱讀	connection-group*
GetConnectionGroupByRoutingEndpoint	准許透過指定的路由端點取得連線群組的相關資訊	閱讀	connection-group*
GetContinuousDeploymentPolicy	准許取得 continuous-deployment 政策	閱讀	continuous-deployment-policy*
GetContinuousDeploymentPolicyConfig	准許取得 continuous-deployment 政策組態	閱讀	continuous-deployment-policy*
GetDistribution	准許取得 Web 分佈的相關資訊	讀取	distribution*
GetDistributionConfig	准許取得分佈的相關組態資訊	閱讀	distribution*
GetDistributionTenant	准許取得分佈租用戶的相關資訊	閱讀	distribution-tenant*
GetDistributionTenantByDomain	准許依相關聯的網域取得分佈租用戶的相關資訊	閱讀	distribution-tenant*
GetFieldLevelEncryption	准許取得欄位層級加密組態資訊	讀取	field-level-encryption-config*
GetFieldLevelEncryptionConfig	准許取得欄位層級加密組態資訊	讀取	field-level-encryption-config*
GetFieldLevelEncryptionProfile	准許取得欄位層級加密組態資訊	讀取	field-level-encryption-profile*
GetFieldLevelEncryptionProfileConfig	准許取得欄位層級加密的設定檔組態資訊	讀取	field-level-encryption-profile*
GetFunction	准許取得 CloudFront 函數的程式碼	讀取	function*
GetInvalidation	准許取得失效的資訊	閱讀	distribution*
GetInvalidationForDistributionTenant	准許取得分佈租用戶失效的相關資訊	閱讀	distribution-tenant*
GetKeyGroup	准許取得金鑰群組	讀取
GetKeyGroupConfig	准許取得金鑰群組組態	閱讀
GetManagedCertificateDetails	准許取得 CloudFront 受管憑證的詳細資訊	閱讀	distribution-tenant*
GetMonitoringSubscription	准許取得有關指定的 CloudFront 分佈是否已啟用其他 CloudWatch 指標的相關資訊	閱讀
GetOriginAccessControl	准許獲取原始存取控制	閱讀	origin-access-control*
GetOriginAccessControlConfig	准許獲取原始存取控制組態	閱讀	origin-access-control*
GetOriginRequestPolicy	准許取得原始請求政策	讀取	origin-request-policy*
GetOriginRequestPolicyConfig	准許取得原始請求政策組態	讀取	origin-request-policy*
GetPublicKey	准許取得公有金鑰資訊	讀取
GetPublicKeyConfig	准許取得公有金鑰組態資訊	讀取
GetRealtimeLogConfig	准許取得即時日誌安全組態	閱讀	realtime-log-config*
GetResponseHeadersPolicy	准許取得回應標頭政策	閱讀	response-headers-policy*
GetResponseHeadersPolicyConfig	准許取得回應標頭政策組態	閱讀	response-headers-policy*
GetSavingsPlan [僅限許可]	准許獲取 Savings Plan	閱讀
GetStreamingDistribution	准許取得 RTMP 分佈的相關資訊	讀取	streaming-distribution*
GetStreamingDistributionConfig	准許取得串流分佈的相關組態資訊	閱讀	streaming-distribution*
GetVpcOrigin	准許取得 VPC 原始伺服器的相關資訊	閱讀	vpcorigin*
ListAnycastIpLists	准許列出您的 Anycast 靜態 IP 清單	清單
ListCachePolicies	准許列出已在 CloudFront 中為此帳戶建立的所有快取政策	列出
ListCloudFrontOriginAccessIdentities	准許列出您的 CloudFront 原始存取身分	列出
ListConflictingAliases	准許列出在 CloudFront 中與特定別名衝突的所有別名	清單	distribution*
ListConnectionGroups	准許列出中的連線群組 AWS 帳戶	清單
ListContinuousDeploymentPolicies	准許列出帳戶中的所有 continuous-deployment 政策	清單
ListDistributionTenants	准許列出您中的分發租用戶 AWS 帳戶	清單
ListDistributionTenantsByCustomization	准許根據您指定的自訂列出分佈租用戶	清單
ListDistributions	准許列出與您的相關聯的分佈 AWS 帳戶	清單
ListDistributionsByAnycastIpListId	准許列出您帳戶中與指定 AnycastIpListId 相關聯的分佈	清單
ListDistributionsByCachePolicyId	准許列出具有與指定快取政策相關快取行為分佈的分佈 ID。	清單
ListDistributionsByConnectionMode	准許依指定的連線模式列出分佈	清單
ListDistributionsByKeyGroup	准許列出具有與指定金鑰群組相關快取行為分佈的分佈 ID	清單
ListDistributionsByLambdaFunction [僅限許可]	准許列出與 Lambda 函數相關聯的發佈	清單
ListDistributionsByOriginRequestPolicyId	准許列出具有與指定原始請求政策相關快取行為分佈的分佈 ID	清單
ListDistributionsByRealtimeLogConfig	准許取得具有與指定即時日誌組態相關聯之快取行為的分佈清單	清單
ListDistributionsByResponseHeadersPolicyId	准許列出具有與指定回應標頭政策相關快取行為分佈的分佈 ID。	清單
ListDistributionsByVpcOriginId	准許列出與指定 VPC 原始伺服器相關聯的分佈 IDs	清單
ListDistributionsByWebACLId	准許列出 AWS 帳戶與指定 AWS WAF Web ACL 相關聯的分佈	清單
ListDomainConflicts	准許列出指定網域的網域衝突	清單	distribution
ListDomainConflicts	准許列出指定網域的網域衝突	清單	distribution-tenant
ListFieldLevelEncryptionConfigs	准許列出 CloudFront 中已為此帳戶建立的所有欄位層級加密組態	列出
ListFieldLevelEncryptionProfiles	准許列出 CloudFront 中已為此帳戶建立的所有欄位層級加密設定檔	列出
ListFunctions	准許取得 CloudFront 函數清單	列出
ListInvalidations	准許列出失效批次	清單	distribution*
ListInvalidationsForDistributionTenant	准許列出分佈租用戶的失效	清單	distribution-tenant*
ListKeyGroups	准許列出已在 CloudFront 中為此帳戶建立的所有金鑰群組	清單
ListKeyValueStores	授予許可取得 CloudFront 函數清單	清單
ListOriginAccessControls	准許列出帳戶中的所有原始存取控制	清單
ListOriginRequestPolicies	准許列出已在 CloudFront 中為此帳戶建立的所有原始請求政策	列出
ListPublicKeys	准許列出已為此帳戶新增到 CloudFront 的所有公有金鑰	清單
ListRateCards [僅限許可]	准許列出帳戶的 CloudFront 費率卡	清單
ListRealtimeLogConfigs	准許取得即時日誌安全組態清單	清單
ListResponseHeadersPolicies	准許列出已在 CloudFront 中為此帳戶建立的所有回應標頭政策	清單
ListSavingsPlans [僅限許可]	准許列出帳戶中的 Savings Plans	清單
ListStreamingDistributions	准許列出 RTMP 分佈	列出
ListTagsForResource	准許列出 CloudFront 資源的標籤	閱讀	anycast-ip-list
			connection-group
			distribution
			distribution-tenant
			vpcorigin
ListUsages [僅限許可]	准許列出 CloudFront 用量	清單
ListVpcOrigins	准許列出 VPC 原始伺服器	清單
PublishFunction	准許發佈 CloudFront 函數	寫入	function*
TagResource	准許將標籤新增至 CloudFront 資源	標記	anycast-ip-list
			connection-group
			distribution
			distribution-tenant
			streaming-distribution
			vpcorigin
				aws:RequestTag/${TagKey} aws:TagKeys
TestFunction	准許測試 CloudFront 函數	寫入	function*
UntagResource	准許從 CloudFront 資源移除標籤	標記	anycast-ip-list
			connection-group
			distribution
			distribution-tenant
			streaming-distribution
			vpcorigin
				aws:TagKeys
UpdateCachePolicy	准許更新快取政策	寫入	cache-policy*
UpdateCloudFrontOriginAccessIdentity	准許設定 CloudFront 原始存取身分的組態	寫入	origin-access-identity*
UpdateConnectionGroup	准許更新連線群組	寫入	connection-group*
UpdateContinuousDeploymentPolicy	准許更新 continuous-deployment 政策	寫入	continuous-deployment-policy*
UpdateDistribution	准許更新 Web 分佈的組態	寫入	distribution*
UpdateDistributionTenant	准許更新分佈租用戶	寫入	distribution-tenant*
UpdateDistributionWithStagingConfig	准許將組態從預備 Web 分佈複製到其對應的主要 Web 分佈	寫入	distribution*
UpdateDomainAssociation	准許更新網域關聯	寫入	distribution
UpdateDomainAssociation	准許更新網域關聯	寫入	distribution-tenant
UpdateFieldLevelEncryptionConfig	准許更新現場層級加密組態	寫入
UpdateFieldLevelEncryptionProfile	准許更新欄位層級加密的設定檔	寫入	field-level-encryption-profile*
UpdateFunction	准許更新 CloudFront 函數	寫入	function*
UpdateKeyGroup	准許更新金鑰群組	寫入
UpdateKeyValueStore	授予許可上傳 CloudFront 公有金鑰	寫入	key-value-store*
UpdateOriginAccessControl	准許更新原始存取控制	寫入	origin-access-control*
UpdateOriginRequestPolicy	准許更新原始請求政策	寫入	origin-request-policy*
UpdatePublicKey	准許更新公有金鑰資訊	寫入
UpdateRealtimeLogConfig	准許更新即時日誌安全組態	寫入	realtime-log-config*
UpdateResponseHeadersPolicy	准許更新回應標頭政策	寫入	response-headers-policy*
UpdateSavingsPlan [僅限許可]	准許更新 Savings Plan	寫入
UpdateStreamingDistribution	准許更新 RTMP 分佈的組態	寫入	streaming-distribution*
UpdateVpcOrigin	准許更新 VPC 原始伺服器	寫入	vpcorigin*
VerifyDnsConfiguration	准許驗證指定網域的 DNS 組態	閱讀	distribution-tenant

Amazon CloudFront 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
distribution	`arn:${Partition}:cloudfront::${Account}:distribution/${DistributionId}`	aws:ResourceTag/${TagKey}
streaming-distribution	`arn:${Partition}:cloudfront::${Account}:streaming-distribution/${DistributionId}`	aws:ResourceTag/${TagKey}
origin-access-identity	`arn:${Partition}:cloudfront::${Account}:origin-access-identity/${Id}`
field-level-encryption-config	`arn:${Partition}:cloudfront::${Account}:field-level-encryption-config/${Id}`
field-level-encryption-profile	`arn:${Partition}:cloudfront::${Account}:field-level-encryption-profile/${Id}`
cache-policy	`arn:${Partition}:cloudfront::${Account}:cache-policy/${Id}`
origin-request-policy	`arn:${Partition}:cloudfront::${Account}:origin-request-policy/${Id}`
realtime-log-config	`arn:${Partition}:cloudfront::${Account}:realtime-log-config/${Name}`
function	`arn:${Partition}:cloudfront::${Account}:function/${Name}`
key-value-store	`arn:${Partition}:cloudfront::${Account}:key-value-store/${Name}`
response-headers-policy	`arn:${Partition}:cloudfront::${Account}:response-headers-policy/${Id}`
origin-access-control	`arn:${Partition}:cloudfront::${Account}:origin-access-control/${Id}`
continuous-deployment-policy	`arn:${Partition}:cloudfront::${Account}:continuous-deployment-policy/${Id}`
anycast-ip-list	`arn:${Partition}:cloudfront::${Account}:anycast-ip-list/${Id}`	aws:ResourceTag/${TagKey}
vpcorigin	`arn:${Partition}:cloudfront::${Account}:vpcorigin/${Id}`	aws:ResourceTag/${TagKey}
distribution-tenant	`arn:${Partition}:cloudfront::${Account}:distribution-tenant/${Id}`	aws:ResourceTag/${TagKey}
connection-group	`arn:${Partition}:cloudfront::${Account}:connection-group/${Id}`	aws:ResourceTag/${TagKey}

Amazon CloudFront 條件索引鍵

Amazon CloudFront 定義了下列條件索引鍵，可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務可用的全域條件索引鍵，請參閱AWS 全域條件內容索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依請求中的標籤鍵值對是否存在篩選存取權	字串
aws:ResourceTag/${TagKey}	依連接到資源的標籤鍵值對篩選存取權	字串
aws:TagKeys	依請求中是否存在標籤索引鍵來篩選存取	ArrayOfString

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS CloudFormation

Amazon CloudFront KeyValueStore