Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Actions, ressources et clés de condition pour Amazon CloudFront - Référence de l'autorisation de service
ActionsTypes de ressourcesClés de condition

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour Amazon CloudFront

PDF

Amazon CloudFront (préfixe de service :cloudfront) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Actions définies par Amazon CloudFront

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AllowVendedLogDeliveryForResource [autorisation uniquement] Accorde l'autorisation de configurer la livraison du journal automatique pour une distribution Gestion des autorisations

distribution

AssociateAlias Accorde l'autorisation d'associer un alias à une CloudFront distribution Écrire

distribution*

CopyDistribution Accorde l'autorisation de copier une distribution de distribution existante et de créer une distribution Web Écrire

distribution*

cloudfront:CopyDistribution

cloudfront:CreateDistribution

cloudfront:GetDistribution

CreateAnycastIpList Autorise la création d'une liste IP statique Anycast Écrire

anycast-ip-list*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCachePolicy Accorde l'autorisation d'ajouter une nouvelle politique de cache à CloudFront Écrire

cache-policy*

CreateCloudFrontOriginAccessIdentity Accorde l'autorisation de créer une nouvelle identité CloudFront d'accès à l'origine Écrire

origin-access-identity*

CreateContinuousDeploymentPolicy Accorde l'autorisation d'ajouter une nouvelle politique de déploiement continu à CloudFront Écrire

continuous-deployment-policy*

CreateDistribution Accorde l'autorisation de créer une distribution Web Écrire

distribution*

CreateFieldLevelEncryptionConfig Accorde l'autorisation de créer une configuration de chiffrement au niveau du champ Écriture
CreateFieldLevelEncryptionProfile Accorde l'autorisation de créer un profil de chiffrement au niveau du champ Écrire
CreateFunction Accorde l'autorisation de créer une CloudFront fonction Écrire

function*

CreateInvalidation Accorde l'autorisation de créer une nouvelle demande de lot d'invalidation Écrire

distribution*

CreateKeyGroup Accorde l'autorisation d'ajouter un nouveau groupe de clés à CloudFront Écrire
CreateKeyValueStore Accorde l'autorisation de créer un CloudFront KeyValueStore Écrire

key-value-store*

CreateMonitoringSubscription Accorde l'autorisation d'activer des CloudWatch métriques supplémentaires pour la CloudFront distribution spécifiée. Les métriques supplémentaires entraînent un surcoût Écrire
CreateOriginAccessControl Accorde l'autorisation de créer un nouveau contrôle d'accès d’origine Écrire
CreateOriginRequestPolicy Accorde l'autorisation d'ajouter une nouvelle politique de demande d'origine à CloudFront Écrire

origin-request-policy*

CreatePublicKey Accorde l'autorisation d'ajouter une nouvelle clé publique à CloudFront Écrire
CreateRealtimeLogConfig Accorde l'autorisation de créer une configuration de journalisation en temps réel Écrire

realtime-log-config*

CreateResponseHeadersPolicy Accorde l'autorisation d'ajouter une nouvelle politique d'en-têtes de réponse à CloudFront Écrire

response-headers-policy*

CreateSavingsPlan [autorisation uniquement] Accorde l'autorisation de créer un nouveau Savings Plan (plan d'épargne) Écrire
CreateStreamingDistribution Accorde l'autorisation de créer une distribution RTMP Écriture

streaming-distribution*

CreateStreamingDistributionWithTags Accorde l'autorisation de créer une distribution RTMP avec des balises Écrire

streaming-distribution*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateVpcOrigin Accorde l'autorisation de créer une origine VPC Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAnycastIpList Accorde l'autorisation de supprimer une liste d'adresses IP statiques Anycast Écrire

anycast-ip-list*

DeleteCachePolicy Accorde l'autorisation de supprimer une politique de cache Écrire

cache-policy*

DeleteCloudFrontOriginAccessIdentity Accorde l'autorisation de supprimer une identité CloudFront d'accès d'origine Écrire

origin-access-identity*

DeleteContinuousDeploymentPolicy Accorde l'autorisation de supprimer une politique de déploiement continu Écrire

continuous-deployment-policy*

DeleteDistribution Accorde l'autorisation de supprimer une distribution Web Écriture

distribution*

DeleteFieldLevelEncryptionConfig Accorde l'autorisation de supprimer une configuration de chiffrement au niveau du champ Écriture

field-level-encryption-config*

DeleteFieldLevelEncryptionProfile Accorde l'autorisation de supprimer un profil de chiffrement au niveau du champ Écrire

field-level-encryption-profile*

DeleteFunction Accorde l'autorisation de supprimer une CloudFront fonction Écrire

function*

DeleteKeyGroup Accorde l'autorisation de supprimer un groupe de clés Écrire
DeleteKeyValueStore Accorde l'autorisation de supprimer un CloudFront KeyValueStore Écrire

key-value-store*

DeleteMonitoringSubscription Accorde l'autorisation de désactiver des CloudWatch métriques supplémentaires pour la CloudFront distribution spécifiée Écrire
DeleteOriginAccessControl Accorde l'autorisation de supprimer un contrôle d'accès d’origine Écrire

origin-access-control*

DeleteOriginRequestPolicy Accorde l'autorisation de supprimer une politique de demande d'origine Écrire

origin-request-policy*

DeletePublicKey Accorde l'autorisation de supprimer une clé publique de CloudFront Écrire
DeleteRealtimeLogConfig Accorde l'autorisation de supprimer une configuration de journalisation en temps réel Écrire

realtime-log-config*

DeleteResponseHeadersPolicy Accorde l'autorisation de supprimer une politique d'en-têtes de réponses Écrire

response-headers-policy*

DeleteStreamingDistribution Accorde l'autorisation de supprimer une distribution RTMP Écrire

streaming-distribution*

DeleteVpcOrigin Accorde l'autorisation de supprimer une origine VPC Écrire

vpcorigin*

DescribeFunction Accorde l'autorisation d'obtenir un résumé des CloudFront fonctions Lecture

function*

DescribeKeyValueStore Accorde l'autorisation d'obtenir un CloudFront KeyValueStore résumé Lecture

key-value-store*

GetAnycastIpList Accorde l'autorisation d'obtenir une liste d'adresses IP statiques Anycast Lecture

anycast-ip-list*

GetCachePolicy Accorde l'autorisation d'obtenir la politique de cache Lecture

cache-policy*

GetCachePolicyConfig Accorde l'autorisation d'obtenir la configuration de la politique de cache Lecture

cache-policy*

GetCloudFrontOriginAccessIdentity Accorde l'autorisation d'obtenir les informations relatives à une identité CloudFront d'accès d'origine Lecture

origin-access-identity*

GetCloudFrontOriginAccessIdentityConfig Accorde l'autorisation d'obtenir les informations de configuration relatives à une identité d'accès à l'origine Cloudfront Lecture

origin-access-identity*

GetContinuousDeploymentPolicy Accorde l'autorisation d'obtenir la configuration de la politique de cache Lecture

continuous-deployment-policy*

GetContinuousDeploymentPolicyConfig Accorde l'autorisation d'obtenir la configuration de la politique de déploiement continu Lecture

continuous-deployment-policy*

GetDistribution Accorde l'autorisation d'obtenir les informations sur une distribution Web Lecture

distribution*

GetDistributionConfig Accorde l'autorisation d'obtenir des informations sur la configuration d'une distribution Lecture

distribution*

GetFieldLevelEncryption Accorde l'autorisation d'obtenir les informations de configuration de chiffrement au niveau du champ Lecture

field-level-encryption-config*

GetFieldLevelEncryptionConfig Accorde l'autorisation d'obtenir les informations de configuration de chiffrement au niveau du champ Lecture

field-level-encryption-config*

GetFieldLevelEncryptionProfile Accorde l'autorisation d'obtenir les informations de configuration de chiffrement au niveau du champ Lecture

field-level-encryption-profile*

GetFieldLevelEncryptionProfileConfig Accorde l'autorisation d'obtenir les informations de configuration du profil de chiffrement au niveau du champ Lecture

field-level-encryption-profile*

GetFunction Accorde l'autorisation d'obtenir le code d'une CloudFront fonction Lecture

function*

GetInvalidation Accorde l'autorisation d'obtenir les informations relatives à une invalidation Lecture

distribution*

GetKeyGroup Accorde l'autorisation d'obtenir un groupe de clés Lecture
GetKeyGroupConfig Accorde l'autorisation d'obtenir une configuration de groupe de clés Lecture
GetMonitoringSubscription Accorde l'autorisation d'obtenir des informations indiquant si CloudWatch des métriques supplémentaires sont activées pour la CloudFront distribution spécifiée Lecture
GetOriginAccessControl Accorde l'autorisation d’obtenir un contrôle d'accès d’origine Lecture

origin-access-control*

GetOriginAccessControlConfig Accorde l’autorisation d’obtenir la configuration de contrôle d'accès d'origine Lecture

origin-access-control*

GetOriginRequestPolicy Accorde l'autorisation d'obtenir la politique de demande d'origine Lecture

origin-request-policy*

GetOriginRequestPolicyConfig Accorde l'autorisation d'obtenir la configuration de la politique de demande d'origine Lecture

origin-request-policy*

GetPublicKey Accorde l'autorisation d'obtenir les informations sur la clé publique Lecture
GetPublicKeyConfig Accorde l'autorisation d'obtenir des informations sur la configuration de la clé publique Lecture
GetRealtimeLogConfig Accorde l'autorisation d'obtenir une configuration de journal en temps réel Lecture

realtime-log-config*

GetResponseHeadersPolicy Accorde l'autorisation d'obtenir la politique d'en-têtes de réponses Lecture

response-headers-policy*

GetResponseHeadersPolicyConfig Accorde l'autorisation d'obtenir la configuration de la politique d'en-têtes de réponses Lecture

response-headers-policy*

GetSavingsPlan [autorisation uniquement] Accorde l'autorisation d’obtenir un Savings Plan (plan d'épargne) Lecture
GetStreamingDistribution Accorde l'autorisation d'obtenir les informations sur une distribution RTMP Lecture

streaming-distribution*

GetStreamingDistributionConfig Accorde l'autorisation d'obtenir les informations de configuration d'une distribution de streaming Lecture

streaming-distribution*

GetVpcOrigin Accorde l'autorisation d'obtenir les informations relatives à l'origine d'un VPC Lecture

vpcorigin*

ListAnycastIpLists Accorde l'autorisation de répertorier vos listes d'adresses IP statiques Anycast Liste
ListCachePolicies Accorde l'autorisation de répertorier toutes les politiques de cache créées CloudFront pour ce compte Liste
ListCloudFrontOriginAccessIdentities Accorde l'autorisation de répertorier vos identités CloudFront d'accès d'origine Liste
ListConflictingAliases Accorde l'autorisation de répertorier tous les alias en conflit avec l'alias donné dans CloudFront Liste

distribution*

ListContinuousDeploymentPolicies Accorde l'autorisation de répertorier toutes les politiques de déploiement continu dans le compte Liste
ListDistributions Accorde l'autorisation de répertorier les distributions associées à votre Compte AWS Liste
ListDistributionsByAnycastIpListId Accorde l'autorisation de répertorier les distributions de votre compte associées à la valeur spécifiée AnycastIpListId Liste
ListDistributionsByCachePolicyId Accorde l'autorisation de répertorier la distribution IDs pour les distributions dont le comportement de cache est associé à la politique de cache spécifiée Liste
ListDistributionsByKeyGroup Accorde l'autorisation de répertorier la distribution IDs pour les distributions dont le comportement de cache est associé au groupe de clés spécifié Liste
ListDistributionsByLambdaFunction [autorisation uniquement] Accorde l'autorisation de répertorier les distributions associées à une fonction Lambda Liste
ListDistributionsByOriginRequestPolicyId Accorde l'autorisation de répertorier la distribution IDs pour les distributions dont le comportement de cache est associé à la politique de demande d'origine spécifiée Liste
ListDistributionsByRealtimeLogConfig Accorde l'autorisation d'obtenir une liste de distributions dont le comportement de cache est associé à la configuration de journal en temps réel spécifiée Liste
ListDistributionsByResponseHeadersPolicyId Accorde l'autorisation de répertorier la distribution IDs pour les distributions dont le comportement de cache est associé à la politique d'en-têtes de réponse spécifiée Liste
ListDistributionsByVpcOriginId Accorde l'autorisation de répertorier IDs les distributions associées à l'origine VPC spécifiée Liste
ListDistributionsByWebACLId Accorde l'autorisation de répertorier les distributions associées à votre Compte AWS ACL Web AWS WAF donné Liste
ListFieldLevelEncryptionConfigs Accorde l'autorisation de répertorier toutes les configurations de chiffrement au niveau des champs qui ont été créées CloudFront pour ce compte Liste
ListFieldLevelEncryptionProfiles Accorde l'autorisation de répertorier tous les profils de chiffrement au niveau des champs qui ont été créés CloudFront pour ce compte Liste
ListFunctions Accorde l'autorisation d'obtenir une liste de CloudFront fonctions Liste
ListInvalidations Accorde l'autorisation de répertorier vos lots d'invalidation Liste

distribution*

ListKeyGroups Accorde l'autorisation de répertorier tous les groupes clés créés CloudFront pour ce compte Liste
ListKeyValueStores Accorde l'autorisation d'obtenir une liste de CloudFront KeyValueStores Liste
ListOriginAccessControls Accorde l’autorisation de répertorier tous les contrôles d'accès d’origine dans le compte Liste
ListOriginRequestPolicies Accorde l'autorisation de répertorier toutes les politiques de demande d'origine créées CloudFront pour ce compte Liste
ListPublicKeys Accorde l'autorisation de répertorier toutes les clés publiques ajoutées CloudFront à ce compte Liste
ListRateCards [autorisation uniquement] Accorde l'autorisation de répertorier les cartes CloudFront tarifaires pour le compte Liste
ListRealtimeLogConfigs Accorde l'autorisation d'obtenir une liste de configurations de journal en temps réel Liste
ListResponseHeadersPolicies Accorde l'autorisation de répertorier toutes les politiques d'en-têtes de réponse créées CloudFront pour ce compte Liste
ListSavingsPlans [autorisation uniquement] Accorde l’autorisation de répertorier les Savings Plans (plans d'épargne) dans le compte Liste
ListStreamingDistributions Accorde l'autorisation de répertorier vos distributions RTMP Liste
ListTagsForResource Accorde l'autorisation de répertorier les balises d'une CloudFront ressource Lecture

anycast-ip-list

distribution

vpcorigin

ListUsages [autorisation uniquement] Autorise l' CloudFront utilisation des listes Liste
ListVpcOrigins Accorde l'autorisation de répertorier les origines des VPC Liste
PublishFunction Autorise la publication d'une CloudFront fonction Écrire

function*

TagResource Accorde l'autorisation d'ajouter des balises à une CloudFront ressource Identification

anycast-ip-list

distribution

streaming-distribution

vpcorigin

aws:RequestTag/${TagKey}

aws:TagKeys

TestFunction Accorde l'autorisation de tester une CloudFront fonction Écrire

function*

UntagResource Accorde l'autorisation de supprimer des balises d'une CloudFront ressource Identification

anycast-ip-list

distribution

streaming-distribution

vpcorigin

aws:TagKeys

UpdateCachePolicy Accorde l'autorisation de mettre à jour une politique de cache Écrire

cache-policy*

UpdateCloudFrontOriginAccessIdentity Accorde l'autorisation de définir la configuration d'une identité CloudFront d'accès d'origine Écrire

origin-access-identity*

UpdateContinuousDeploymentPolicy Accorde l'autorisation de mettre à jour une politique de déploiement continu Écrire

continuous-deployment-policy*

UpdateDistribution Accorde l'autorisation de mettre à jour une configuration de distribution Web Écrire

distribution*

UpdateDistributionWithStagingConfig Accorde l'autorisation de copier la configuration d'une distribution Web intermédiaire vers la distribution Web principale correspondante Écrire

distribution*

UpdateFieldLevelEncryptionConfig Accorde l'autorisation de mettre à jour la configuration de chiffrement au niveau du champ Écriture
UpdateFieldLevelEncryptionProfile Accorde l'autorisation de mettre à jour un profil de chiffrement au niveau du champ Écrire

field-level-encryption-profile*

UpdateFunction Autorise la mise à jour d'une CloudFront fonction Écrire

function*

UpdateKeyGroup Accorde l'autorisation de mettre à jour un groupe de clés Écrire
UpdateKeyValueStore Accorde l'autorisation de mettre à jour un CloudFront KeyValueStore Écrire

key-value-store*

UpdateOriginAccessControl Accorde l'autorisation de mettre à jour un contrôle d'accès d’origine Écrire

origin-access-control*

UpdateOriginRequestPolicy Accorde l'autorisation de mettre à jour une politique de demande d'origine Écriture

origin-request-policy*

UpdatePublicKey Accorde l'autorisation de mettre à jour les informations de clé publique Écriture
UpdateRealtimeLogConfig Accorde l'autorisation de mettre à jour une configuration de journal en temps réel Écrire

realtime-log-config*

UpdateResponseHeadersPolicy Accorde l'autorisation de mettre à jour une politique d'en-têtes de réponses Écrire

response-headers-policy*

UpdateSavingsPlan [autorisation uniquement] Accorde l'autorisation de mettre à jour un savings plan (plan d'épargne) Écrire
UpdateStreamingDistribution Accorde l'autorisation de mettre à jour une configuration de distribution RTMP Écrire

streaming-distribution*

UpdateVpcOrigin Accorde l'autorisation de mettre à jour l'origine d'un VPC Écrire

vpcorigin*

Types de ressources définis par Amazon CloudFront

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
distribution arn:${Partition}:cloudfront::${Account}:distribution/${DistributionId}

aws:ResourceTag/${TagKey}

streaming-distribution arn:${Partition}:cloudfront::${Account}:streaming-distribution/${DistributionId}

aws:ResourceTag/${TagKey}

origin-access-identity arn:${Partition}:cloudfront::${Account}:origin-access-identity/${Id}
field-level-encryption-config arn:${Partition}:cloudfront::${Account}:field-level-encryption-config/${Id}
field-level-encryption-profile arn:${Partition}:cloudfront::${Account}:field-level-encryption-profile/${Id}
cache-policy arn:${Partition}:cloudfront::${Account}:cache-policy/${Id}
origin-request-policy arn:${Partition}:cloudfront::${Account}:origin-request-policy/${Id}
realtime-log-config arn:${Partition}:cloudfront::${Account}:realtime-log-config/${Name}
function arn:${Partition}:cloudfront::${Account}:function/${Name}
key-value-store arn:${Partition}:cloudfront::${Account}:key-value-store/${Name}
response-headers-policy arn:${Partition}:cloudfront::${Account}:response-headers-policy/${Id}
origin-access-control arn:${Partition}:cloudfront::${Account}:origin-access-control/${Id}
continuous-deployment-policy arn:${Partition}:cloudfront::${Account}:continuous-deployment-policy/${Id}
anycast-ip-list arn:${Partition}:cloudfront::${Account}:anycast-ip-list/${Id}

aws:ResourceTag/${TagKey}

vpcorigin arn:${Partition}:cloudfront::${Account}:vpcorigin/${Id}

aws:ResourceTag/${TagKey}

Clés de condition pour Amazon CloudFront

Amazon CloudFront définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d’application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction de la présence de paires clé-valeur d'identification dans la demande Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. Chaîne
aws:TagKeys Filtre l'accès en fonction de la présence de clés d'identification dans la demande ArrayOfString

Rubrique précédente :

AWS CloudFormation

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.