# 适用于 Amazon CloudFront 的 AWS 托管策略
<a name="security-iam-awsmanpol"></a>

要向用户、组和角色添加权限，与自己编写策略相比，使用 AWS 托管策略更简单。仅为用户提供所需权限来[创建 IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门，您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例，可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息，请参阅《*IAM 用户指南*》中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

AWS 服务负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份（用户、组和角色）。当新功能启动或新权限可用时，服务最有可能会更新 AWS 托管策略。服务不会从 AWS 托管策略中删除权限，因此策略更新不会破坏您的现有权限。

此外，AWS还支持跨多种服务的工作职能的托管策略。例如，**ReadOnlyAccess** AWS 托管式策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动新特征时，AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅《*IAM 用户指南*》中的[适用于工作职能的AWS托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。

**Topics**
+ [AWS托管策略：CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only)
+ [AWS托管策略：CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access)
+ [AWS 托管策略：AWSCloudFrontLogger](#security-iam-awsmanpol-cloudfront-logger)
+ [AWS托管策略：AWSLambDAccessReplicator](#security-iam-awsmanpol-lambda-replicator)
+ [AWS 托管式策略：AWSCloudFrontVPCOriginServiceRolePolicy](#security-iam-awsmanpol-vpc-origin)
+ [CloudFront 对 AWS 托管策略做出的更新](#security-iam-awsmanpol-updates)







## AWS托管策略：CloudFrontReadOnlyAccess
<a name="security-iam-awsmanpol-cloudfront-read-only"></a>

您可以将 **CloudFrontReadOnlyAccess** 策略附加到 IAM 身份。此策略允许 CloudFront 资源的只读权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其它 AWS 服务资源的只读权限。

**权限详细信息**

该策略包含以下权限。
+ `cloudfront:Describe*` – 允许委托人获取有关 CloudFront 资源的元数据信息。
+ `cloudfront:Get*` – 允许委托人获取 CloudFront 资源的详细信息和配置。
+ `cloudfront:List*` – 允许委托人获取 CloudFront 资源列表。
+ `cloudfront-keyvaluestore:Describe*` - 允许委托人获取有关键值存储的信息。
+ `cloudfront-keyvaluestore:Get*` - 允许委托人获取键值存储的详细信息和配置。
+ `cloudfront-keyvaluestore:List*` - 允许委托人获取键值存储的列表。
+ `acm:DescribeCertificate`：支持主体获取有关 ACM 证书的详细信息。
+ `acm:ListCertificates` – 允许委托人获取 ACM 证书列表。
+ `iam:ListServerCertificates` – 允许委托人获取存储在 IAM 中的服务器证书列表。
+ `route53:List*` – 允许委托人获取 Route 53 资源列表。
+ `waf:ListWebACLs` – 允许委托人在 中获取 Web ACL 列表。AWS WAF
+ `waf:GetWebACL` – 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF
+ `wafv2:ListWebACLs` – 允许委托人在 中获取 Web ACL 列表。AWS WAF
+ `wafv2:GetWebACL` – 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF
+ `pricingplanmanager:GetSubscription`：允许主体进行只读访问，以获取有关定价方案订阅的详细信息。
+ `pricingplanmanager:ListSubscriptions`：允许主体进行只读访问，以列出定价方案订阅。
+ `ec2:DescribeIpamPools`：允许主体获取有关您的 IPAM 池的详细信息。
+ `ec2:GetIpamPoolCidrs`：允许主体获取预调配到 IPAM 池的 CIDR。

要查看此策略的权限，请参阅《AWS Managed Policy Reference》**中的 [CloudFrontReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontReadOnlyAccess.html)。

## AWS托管策略：CloudFrontFullAccess
<a name="security-iam-awsmanpol-cloudfront-full-access"></a>

您可以将 **CloudFrontFullAccess** 策略附加到 IAM 身份。此策略允许 CloudFront 资源的管理权限。它还允许与 CloudFront 相关且在 CloudFront 控制台中可见的其它 AWS 服务资源的只读权限。

**权限详细信息**

该策略包含以下权限。
+ `s3:ListAllMyBuckets` – 允许委托人获取所有 Amazon S3 存储桶的列表。
+ `acm:DescribeCertificate`：支持主体获取有关 ACM 证书的详细信息。
+ `acm:ListCertificates` – 允许委托人获取 ACM 证书列表。
+ `acm:RequestCertificate`：支持主体从 ACM 请求托管式证书。
+ `cloudfront:*` – 允许委托人对所有 CloudFront 资源执行所有操作。
+ `cloudfront-keyvaluestore:*` - 允许委托人对键值存储执行所有操作。
+ `iam:ListServerCertificates` – 允许委托人获取存储在 IAM 中的服务器证书列表。
+ `waf:ListWebACLs` – 允许委托人在 中获取 Web ACL 列表。AWS WAF
+ `waf:GetWebACL` – 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF
+ `waf:CreateWebACLs`：允许主体在 AWS WAF 中创建 Web ACL。
+ `wafv2:ListWebACLs` – 允许委托人在 中获取 Web ACL 列表。AWS WAF
+ `wafv2:GetWebACL` – 允许委托人在 中获取有关 Web ACL 的详细信息。AWS WAF
+ `kinesis:ListStreams` – 允许委托人获取 Amazon Kinesis 流的列表。
+ `elasticloadbalancing:DescribeLoadBalancers` – 允许主体获取弹性负载均衡中负载均衡器的相关详细信息。
+ `kinesis:DescribeStream` – 允许委托人获取有关 Kinesis 流的详细信息。
+ `iam:ListRoles` – 允许委托人在 IAM 中获取角色列表。
+ `pricingplanmanager:AssociateResourcesToSubscription`：允许主体将资源与订阅相关联。这可让订阅的定价方案涵盖这些资源。
+ `pricingplanmanager:CancelSubscription`：允许主体取消现有订阅。
+ `pricingplanmanager:CancelSubscriptionChange`：允许主体在应用更改之前取消对现有订阅的待处理更改（例如，方案升级）。
+ `pricingplanmanager:CreateSubscription`：允许主体创建定价方案订阅。
+ `pricingplanmanager:DisassociateResourcesFromSubscription`：允许主体删除资源与现有订阅之间的关联。
+ `pricingplanmanager:UpdateSubscription`：允许主体修改现有订阅，例如更改定价方案。
+ `pricingplanmanager:GetSubscription`：允许主体进行只读访问，以获取有关定价方案订阅的详细信息。
+ `pricingplanmanager:ListSubscriptions`：允许主体进行只读访问，以列出定价方案订阅。
+ `ec2:DescribeInstances` – 允许主体获取 Amazon EC2 中实例的相关详细信息。
+ `ec2:DescribeInternetGateways` – 允许主体获取 Amazon EC2 中互联网网关的相关详细信息。
+ `ec2:DescribeIpamPools`：允许主体获取有关您的 IPAM 池的详细信息。
+ `ec2:GetIpamPoolCidrs`：允许主体获取预调配到 IPAM 池的 CIDR。

要查看此策略的权限，请参阅《AWS Managed Policy Reference》**中的 [CloudFrontFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontFullAccess.html)。

**重要**  
如果您希望 CloudFront 创建和保存访问日志，则需要授予其他权限。有关更多信息，请参阅 [权限](standard-logging-legacy-s3.md#AccessLogsBucketAndFileOwnership)。

## AWS 托管策略：AWSCloudFrontLogger
<a name="security-iam-awsmanpol-cloudfront-logger"></a>

您不能将 **AWSCloudFrontLogger** 策略添加到您的 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息，请参阅 [Lambda@Edge 的服务相关角色](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge)。

此策略允许 CloudFront 将日志文件推送到 Amazon CloudWatch。有关此策略中包含的权限的详细信息，请参阅[CloudFront Logger 的服务相关角色权限](lambda-edge-permissions.md#slr-permissions-cloudfront-logger)。

要查看此策略的权限，请参阅《AWS Managed Policy Reference》**中的 [AWSCloudFrontLogger](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontLogger.html)。

## AWS托管策略：AWSLambDAccessReplicator
<a name="security-iam-awsmanpol-lambda-replicator"></a>

您不能将 **AWSLambdagReplicator** 策略添加到 IAM 身份。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息，请参阅 [Lambda@Edge 的服务相关角色](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge)。

此策略允许在 AWS Lambda 中 CloudFront 创建、删除和禁用函数并将 Lambda@Edge 函数复制到AWS 区域。有关此策略中包含的权限的详细信息，请参阅[Lambda Replicator 的服务相关角色权限](lambda-edge-permissions.md#slr-permissions-lambda-replicator)。

要查看此策略的权限，请参阅《AWS Managed Policy Reference》**中的 [AWSLambdaReplicator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaReplicator.html)。

## AWS 托管式策略：AWSCloudFrontVPCOriginServiceRolePolicy
<a name="security-iam-awsmanpol-vpc-origin"></a>

您无法将 **AWSCloudFrontVPCOriginServiceRolePolicy** 策略附加到您的 IAM 实体。此附加到服务相关角色的策略允许 CloudFront 代表您执行操作。有关更多信息，请参阅 [使用 CloudFront 的服务相关角色](using-service-linked-roles.md)。

此策略允许 CloudFront 代表您管理 EC2 弹性网络接口和安全组。有关此策略中包含的权限的详细信息，请参阅[CloudFront VPC 源的服务相关角色权限](using-service-linked-roles.md#slr-permissions)。

要查看此策略的权限，请参阅《AWS Managed Policy Reference》**中的 [AWSCloudFrontVPCOriginServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontVPCOriginServiceRolePolicy.html)。

## CloudFront 对 AWS 托管策略做出的更新
<a name="security-iam-awsmanpol-updates"></a>

查看有关 CloudFront 的 AWS 托管策略更新的详细信息（从该服务开始跟踪这些更改开始）。有关此页面更改的提示，请订阅[文档历史记录](WhatsNew.md)页面上的 CloudFront RSS 馈送。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 对现有策略的更新  |  CloudFront 为 Amazon EC2. 添加了新的权限。 新的权限可让主体使用 `ec2:DescribeIpamPools` 和 `ec2:GetIpamPoolCidrs` 操作。  | 2025 年 11 月 24 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) - 对现有策略的更新  |  CloudFront 为 Amazon EC2. 添加了新的权限。 新的权限可让主体使用 `ec2:DescribeIpamPools` 和 `ec2:GetIpamPoolCidrs` 操作。  | 2025 年 11 月 24 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) - 对现有策略的更新  |  CloudFront 添加了用于创建 AWS WAF ACL 资源的新权限，并向 AWS 定价方案管理器添加了创建、更新、删除和读取权限。  | 2025 年 11 月 18 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) - 对现有策略的更新  |  CloudFront 添加了用于创建 AWS WAF ACL 资源的新权限，并向 AWS 定价方案管理器添加了创建、更新、删除和读取权限。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) - 对现有策略的更新  |  CloudFront 新增了权限，用于对 AWS 定价方案管理器进行只读访问。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) - 对现有策略的更新  |  CloudFront 新增了权限，用于对 AWS 定价方案管理器进行只读访问。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) - 对现有策略的更新  |  CloudFront 为 ACM 添加了新权限。 该新权限支持主体获取有关 ACM 证书的详细信息。  | 2025 年 4 月 28 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) - 对现有策略的更新  |  CloudFront 为 ACM 添加了新的权限。 这些新权限支持主体获取有关 ACM 证书的详细信息并从 ACM 请求托管式证书。  | 2025 年 4 月 28 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) - 对现有策略的更新  |  CloudFront 为 Amazon EC2 和弹性负载均衡添加了新的权限。 新权限允许 CloudFront 获取弹性负载均衡中的负载均衡器以及 Amazon EC2 中的实例和互联网网关的相关详细信息。  | 2024 年 11 月 20 日 | 
|  [AWSCloudFrontVPCOriginServiceRolePolicy](#security-iam-awsmanpol-vpc-origin) – 新策略  |  CloudFront 添加了一个新策略。 此策略允许 CloudFront 代表您管理 EC2 弹性网络接口和安全组。  | 2024 年 11 月 20 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) 和 [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 更新了两个现有策略。  |  CloudFront 为键值存储添加了新权限 新的权限允许用户获取有关键值存储的信息并对键值存储执行操作。  | 2023 年 12 月 19 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 更新了现有策略  |  CloudFront 添加了一个新的权限来描述 CloudFront Functions。 此权限允许用户、组或角色读取有关函数的信息和元数据，但不能读取函数代码。  | 2021 年 9 月 8 日 | 
|  CloudFront 已开启跟踪更改  |  CloudFront 为其AWS托管策略开启了更改跟踪。  | 2021 年 9 月 8 日 |