# AWSAmazon CloudFront の 管理ポリシー
<a name="security-iam-awsmanpol"></a>

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。ユーザーに必要なアクセス許可のみを提供する [IAM カスタマー管理ポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の[「AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS のサービスはAWS マネージドポリシーを維持および更新します。AWS 管理ポリシーのアクセス許可を変更することはできません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられたり、新しいアクセス許可が使用可能になったりすると、各サービスで AWS 管理ポリシーが更新される可能性が最も高くなります。各サービスでは、AWS 管理ポリシーからアクセス許可が削除されないため、ポリシーの更新によって既存のアクセス許可が破棄されることはありません。

さらに、AWS は複数のサービスにまたがるジョブ機能の特徴に対するマネージドポリシーもサポートしています。例えば、**ReadOnlyAccess** AWS マネージドポリシーではすべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。サービスが新しい機能を起動する場合、AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ関数ポリシーのリストと説明については、*IAM ユーザーガイド*の「[AWS ジョブ関数のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

**Topics**
+ [AWS 管理ポリシー: CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only)
+ [AWS 管理ポリシー: CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access)
+ [AWS 管理ポリシー: AWSCloudFrontLogger](#security-iam-awsmanpol-cloudfront-logger)
+ [AWS 管理ポリシー: AWSLambdaReplicator](#security-iam-awsmanpol-lambda-replicator)
+ [AWS マネージドポリシー: AWSCloudFrontVPCOriginServiceRolePolicy](#security-iam-awsmanpol-vpc-origin)
+ [CloudFront による AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)







## AWS 管理ポリシー: CloudFrontReadOnlyAccess
<a name="security-iam-awsmanpol-cloudfront-read-only"></a>

IAM ID に **CloudFrontReadOnlyAccess** ポリシーをアタッチできます。このポリシーでは CloudFront リソースへの読み取り専用アクセス許可が許可されます。また、CloudFront に関連し、CloudFront コンソールに表示される他の AWS サービスのリソースへの読み取り専用アクセスも許可されます。

**権限の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `cloudfront:Describe*` - プリンシパルが CloudFront リソースに関するメタデータに関する情報を取得できるようにします。
+ `cloudfront:Get*` - プリンシパルが CloudFront リソースの詳細情報と設定を取得できるようにします。
+ `cloudfront:List*` - プリンシパルが CloudFront リソースのリストを取得できるようにします。
+ `cloudfront-keyvaluestore:Describe*` - プリンシパルに、キーバリューストアに関する情報の取得を許可します。
+ `cloudfront-keyvaluestore:Get*` - プリンシパルに、キーバリューストアの詳細情報や設定の取得を許可します。
+ `cloudfront-keyvaluestore:List*` - プリンシパルに、キーバリューストアのリストの取得を許可します。
+ `acm:DescribeCertificate` — プリンシパルが ACM 証明書についての詳細の取得を許可します。
+ `acm:ListCertificates` - プリンシパルが ACM 証明書のリストを取得できるようにします。
+ `iam:ListServerCertificates` - プリンシパルが IAM に格納されるサーバー証明書のリストを許可できるようにします。
+ `route53:List*` - プリンシパルが Route 53 リソースのリストを取得できるようにします。
+ `waf:ListWebACLs` - プリンシパルが のウェブ ACL のリストを取得できるようにします。AWS WAF
+ `waf:GetWebACL` - プリンシパルが のウェブ ACL に関する詳細情報を取得できるようにします。AWS WAF
+ `wafv2:ListWebACLs` - プリンシパルが のウェブ ACL のリストを取得できるようにします。AWS WAF
+ `wafv2:GetWebACL` - プリンシパルが のウェブ ACL に関する詳細情報を取得できるようにします。AWS WAF
+ `pricingplanmanager:GetSubscription` - プリンシパルに料金プランのサブスクリプションに関する詳細を取得するための読み取り専用アクセスを与えます。
+ `pricingplanmanager:ListSubscriptions` - プリンシパルに料金プランのサブスクリプションを一覧表示するための読み取り専用アクセスを与えます。
+ `ec2:DescribeIpamPools` - プリンシパルが IPAM プールに関する詳細情報を取得することを許可します。
+ `ec2:GetIpamPoolCidrs` - プリンシパルが IPAM プールにプロビジョニングされた CIDR を取得することを許可します。

このポリシーのアクセス許可を確認するには、「*AWS Managed Policy Reference*」の「[CloudFrontReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontReadOnlyAccess.html)」を参照してください。

## AWS 管理ポリシー: CloudFrontFullAccess
<a name="security-iam-awsmanpol-cloudfront-full-access"></a>

IAM ID に **CloudFrontFullAccess** ポリシーをアタッチできます。このポリシーでは、CloudFront リソースに対する管理アクセス許可が許可されます。また、CloudFront に関連し、CloudFront コンソールに表示される他の AWS サービスのリソースへの読み取り専用アクセスも許可されます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `s3:ListAllMyBuckets` - プリンシパルが、すべての Amazon S3 バケットのリストを取得できるようにします。
+ `acm:DescribeCertificate` — プリンシパルが ACM 証明書についての詳細の取得を許可します。
+ `acm:ListCertificates` - プリンシパルが ACM 証明書のリストを取得できるようにします。
+ `acm:RequestCertificate` – プリンシパルが ACM からのマネージド証明書のリクエストを許可します。
+ `cloudfront:*` - プリンシパルが、すべての CloudFront リソースに対してすべてのアクションを実行できるようにします。
+ `cloudfront-keyvaluestore:*` - プリンシパルに、キーバリューストアに対するすべてのアクションの実行を許可します。
+ `iam:ListServerCertificates` - プリンシパルが IAM に格納されるサーバー証明書のリストを許可できるようにします。
+ `waf:ListWebACLs` - プリンシパルが のウェブ ACL のリストを取得できるようにします。AWS WAF
+ `waf:GetWebACL` - プリンシパルが のウェブ ACL に関する詳細情報を取得できるようにします。AWS WAF
+ `waf:CreateWebACLs` - プリンシパルが AWS WAF でウェブ ACL を作成することを許可します。
+ `wafv2:ListWebACLs` - プリンシパルが のウェブ ACL のリストを取得できるようにします。AWS WAF
+ `wafv2:GetWebACL` - プリンシパルが のウェブ ACL に関する詳細情報を取得できるようにします。AWS WAF
+ `kinesis:ListStreams` - プリンシパルが Amazon Kinesis ストリームのリストを取得できるようにします。
+ `elasticloadbalancing:DescribeLoadBalancers` - プリンシパルが Elastic Load Balancing のロードバランサーに関する詳細情報を取得することを許可します。
+ `kinesis:DescribeStream` - プリンシパルが Kinesis ストリームに関する詳細情報を取得できるようにします。
+ `iam:ListRoles` - プリンシパルが IAM のロールのリストを取得できるようにします。
+ `pricingplanmanager:AssociateResourcesToSubscription` - プリンシパルがサブスクリプションにリソースを関連付けることを許可します。これにより、リソースはサブスクリプションの料金プランの対象になります。
+ `pricingplanmanager:CancelSubscription` - プリンシパルが既存のサブスクリプションをキャンセルすることを許可します。
+ `pricingplanmanager:CancelSubscriptionChange` - プリンシパルが、変更が適用される前に、プランのアップグレードなど、既存のサブスクリプションへの保留中の変更をキャンセルすることを許可します。
+ `pricingplanmanager:CreateSubscription` - プリンシパルが料金プランのサブスクリプションを作成することを許可します。
+ `pricingplanmanager:DisassociateResourcesFromSubscription` - プリンシパルがリソースと既存のサブスクリプション間の関連付けを削除することを許可します。
+ `pricingplanmanager:UpdateSubscription` - プリンシパルが料金プランの変更など、既存のサブスクリプションの変更をすることを許可します。
+ `pricingplanmanager:GetSubscription` - プリンシパルに料金プランのサブスクリプションに関する詳細を取得するための読み取り専用アクセスを与えます。
+ `pricingplanmanager:ListSubscriptions` - プリンシパルに料金プランのサブスクリプションを一覧表示するための読み取り専用アクセスを与えます。
+ `ec2:DescribeInstances` – プリンシパルが Amazon EC2 インスタンスに関する詳細情報を取得することを許可します。
+ `ec2:DescribeInternetGateways` - プリンシパルが Amazon EC2 のインターネットゲートウェイに関する詳細情報を取得することを許可します。
+ `ec2:DescribeIpamPools` - プリンシパルが IPAM プールに関する詳細情報を取得することを許可します。
+ `ec2:GetIpamPoolCidrs` - プリンシパルが IPAM プールにプロビジョニングされた CIDR を取得することを許可します。

このポリシーのアクセス許可を確認するには、「*AWS Managed Policy Reference*」の「[CloudFrontFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontFullAccess.html)」を参照してください。

**重要**  
CloudFront でアクセスログを作成および保存するには、追加のアクセス許可を付与する必要があります。詳細については、「[アクセス許可](standard-logging-legacy-s3.md#AccessLogsBucketAndFileOwnership)」を参照してください。

## AWS 管理ポリシー: AWSCloudFrontLogger
<a name="security-iam-awsmanpol-cloudfront-logger"></a>

IAM ID に **AWSCloudFrontLogger** ポリシーをアタッチすることはできません。このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、サービスにリンクされたロールにアタッチされます。詳細については、「[Lambda@Edge 用のサービスにリンクされたロール](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge)」を参照してください。

このポリシーにより、CloudFront が Amazon CloudWatch にログファイルをプッシュできるようになります。このポリシーに含まれるアクセス許可の詳細については、「[CloudFront ロガー用のサービスにリンクされたロールのアクセス許可](lambda-edge-permissions.md#slr-permissions-cloudfront-logger)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSCloudFrontLogger](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontLogger.html)」を参照してください。

## AWS 管理ポリシー: AWSLambdaReplicator
<a name="security-iam-awsmanpol-lambda-replicator"></a>

IAM ID に **AWSLambdaReplicator** ポリシーをアタッチすることはできません。このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、サービスにリンクされたロールにアタッチされます。詳細については、「[Lambda@Edge 用のサービスにリンクされたロール](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge)」を参照してください。

このポリシーにより、CloudFront が AWS Lambda の関数を作成、削除、無効化して AWS リージョン に Lambda@Edge 関数をレプリケートできるようになります。このポリシーに含まれるアクセス許可の詳細については、「[Lambda Replicator 用のサービスにリンクされたロールのアクセス許可](lambda-edge-permissions.md#slr-permissions-lambda-replicator)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSLambdaReplicator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaReplicator.html)」を参照してください。

## AWS マネージドポリシー: AWSCloudFrontVPCOriginServiceRolePolicy
<a name="security-iam-awsmanpol-vpc-origin"></a>

IAM エンティティに **AWSCloudFrontVPCOriginServiceRolePolicy** ポリシーをアタッチすることはできません。このポリシーは、CloudFront がユーザーに代わってアクションを実行できるようにする、サービスにリンクされたロールにアタッチされます。詳細については、「[CloudFront のサービスリンクロールを使用する](using-service-linked-roles.md)」を参照してください。

このポリシーは、CloudFront がユーザーに代わって EC2 Elastic Network Interface とセキュリティグループを管理することを許可します。このポリシーに含まれるアクセス許可の詳細については、「[CloudFront VPC オリジン用のサービスリンクロールのアクセス許可](using-service-linked-roles.md#slr-permissions)」を参照してください。

このポリシーのアクセス許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSCloudFrontVPCOriginServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontVPCOriginServiceRolePolicy.html)」を参照してください。

## CloudFront による AWS 管理ポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>

CloudFront の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動通知については、CloudFront [ドキュメントの履歴](WhatsNew.md)ページの RSS フィードを購読してください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 既存のポリシーの更新  |  CloudFront は Amazon EC2 の新しいアクセス許可を追加しました。 新しいアクセス許可により、プリンシパルは `ec2:DescribeIpamPools` および `ec2:GetIpamPoolCidrs` アクションを使用できます。  | 2025 年 11 月 24 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 既存のポリシーの更新  |  CloudFront は Amazon EC2 の新しいアクセス許可を追加しました。 新しいアクセス許可により、プリンシパルは `ec2:DescribeIpamPools` および `ec2:GetIpamPoolCidrs` アクションを使用できます。  | 2025 年 11 月 24 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 既存のポリシーの更新  |  CloudFront は、AWS WAF ACL リソースを作成する新しいアクセス許可を追加し、作成、更新、削除、読み取りのアクセス許可を AWS Pricing Plan Manager に追加しました。  | 2025 年 11 月 18 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 既存のポリシーの更新  |  CloudFront は、AWS WAF ACL リソースを作成する新しいアクセス許可を追加し、作成、更新、削除、読み取りのアクセス許可を AWS Pricing Plan Manager に追加しました。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 既存のポリシーの更新  |  CloudFront は、AWS Pricing Plan Manager への読み取り専用アクセスのための新しいアクセス許可を追加しました。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 既存のポリシーの更新  |  CloudFront は、AWS Pricing Plan Manager への読み取り専用アクセスのための新しいアクセス許可を追加しました。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 既存のポリシーの更新  |  CloudFront が ACM の新しいアクセス許可を追加しました。 新しいアクセス許可により、プリンシパルは ACM 証明書の詳細を取得できます。  | 2025 年 4 月 28 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 既存のポリシーの更新  |  CloudFront は ACM の新しいアクセス許可を追加しました。 新しいアクセス許可により、プリンシパルは ACM 証明書についての詳細を取得し、ACM からのマネージド証明書をリクエストできます。  | 2025 年 4 月 28 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 既存のポリシーの更新  |  CloudFront は、Amazon EC2 と Elastic Load Balancing の新しいアクセス許可を追加しました。 新しいアクセス許可により、CloudFront は Elastic Load Balancing のロードバランサー、Amazon EC2 のインスタンスとインターネットゲートウェイに関する詳細情報を取得できます。  | 2024 年 11 月 20 日 | 
|  [AWSCloudFrontVPCOriginServiceRolePolicy](#security-iam-awsmanpol-vpc-origin) – 新しいポリシー  |  CloudFront は新しいポリシーを追加しました。 このポリシーは、CloudFront がユーザーに代わって EC2 Elastic Network Interface とセキュリティグループを管理することを許可します。  | 2024 年 11 月 20 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) と [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) - 2 つの既存のポリシーに対する更新  |  CloudFront はキーバリューストアに対する新しいアクセス許可を追加しました。 新しいアクセス許可により、ユーザーはキーバリューストアに関する情報を取得し、キーバリューストアにアクションを実行できます。  | 2023 年 12 月 19 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 既存ポリシーへの更新  |  CloudFront に CloudFront Functions を記述するためのアクセス許可が新たに追加されました。 このアクセス許可により、ユーザー、グループ、またはロールは関数に関する情報とメタデータを読み取ることができます。ただし、関数のコードを読み取ることはできません。  | 2021 年 9 月 8 日 | 
|  CloudFront が変更の追跡を開始しました  |  CloudFront が AWS 管理ポリシーの変更の追跡を開始しました。  | 2021 年 9 月 8 日 |