本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon CloudFront 的 受管政策
<a name="security-iam-awsmanpol"></a>

若要新增許可給使用者、群組和角色，使用 AWS 受管政策比自行撰寫政策更容易。[建立 IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識，而受管政策可為您的使用者提供其所需的許可。若要快速開始使用，您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例，並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新許可可用時，服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可，因此政策更新不會破壞您現有的許可。

此外， AWS 支援跨多個 服務之任務函數的受管政策。例如，**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時， 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明，請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。

**Topics**
+ [AWS 受管政策：CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only)
+ [AWS 受管政策：CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access)
+ [AWS 受管政策：AWSCloudFrontLogger](#security-iam-awsmanpol-cloudfront-logger)
+ [AWS 受管政策：AWSLambdaReplicator](#security-iam-awsmanpol-lambda-replicator)
+ [AWS 受管政策：AWSCloudFrontVPCOriginServiceRolePolicy](#security-iam-awsmanpol-vpc-origin)
+ [AWS 受管政策的 CloudFront 更新](#security-iam-awsmanpol-updates)







## AWS 受管政策：CloudFrontReadOnlyAccess
<a name="security-iam-awsmanpol-cloudfront-read-only"></a>

您可以將 **CloudFrontReadOnlyAccess** 政策連接到 IAM 身分。此政策允許 CloudFront 資源的唯讀許可。它還允許與 CloudFront 相關的其他 AWS 服務資源的唯讀許可，並在 CloudFront 主控台中可見。

**許可詳細資訊**

此政策包含以下許可。
+ `cloudfront:Describe*` – 允許主體取得有關 CloudFront 資源中繼資料的資訊。
+ `cloudfront:Get*` – 允許主參與者取得 CloudFront 資源的詳細資訊和組態。
+ `cloudfront:List*` – 允許主參與者取得 CloudFront 資源的清單。
+ `cloudfront-keyvaluestore:Describe*` - 允許主體取得有關鍵值存放區的資訊。
+ `cloudfront-keyvaluestore:Get*` - 允許主體取得鍵值存放區的詳細資訊和組態。
+ `cloudfront-keyvaluestore:List*` - 允許主體取得鍵值存放區的清單。
+ `acm:DescribeCertificate` – 允許主體取得 ACM 憑證的詳細資訊。
+ `acm:ListCertificates` – 允許主參與者取得 ACM 憑證清單。
+ `iam:ListServerCertificates` – 允許主參與者取得存放在 IAM 的伺服器憑證清單。
+ `route53:List*` – 允許主參與者取得 Route 53 資源的清單。
+ `waf:ListWebACLs` – 允許主參與者取得 AWS WAF的 Web ACL 清單。
+ `waf:GetWebACL` – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。
+ `wafv2:ListWebACLs` – 允許主參與者取得 AWS WAF的 Web ACL 清單。
+ `wafv2:GetWebACL` – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。
+ `pricingplanmanager:GetSubscription` – 允許主體唯讀存取，以取得有關定價計劃訂閱的詳細資訊。
+ `pricingplanmanager:ListSubscriptions` – 允許委託人唯讀存取列出定價計劃訂閱。
+ `ec2:DescribeIpamPools` – 允許主體取得 IPAM 集區的詳細資訊。
+ `ec2:GetIpamPoolCidrs` – 允許主體取得佈建至 IPAM 集區的 CIDRs。

若要檢視此政策的許可權限，請參閱《*AWS 受管政策參考*》中的 [CloudFrontReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontReadOnlyAccess.html)。

## AWS 受管政策：CloudFrontFullAccess
<a name="security-iam-awsmanpol-cloudfront-full-access"></a>

您可以將 **CloudFrontFullAccess** 政策連接到 IAM 身分。此政策允許對 CloudFront 資源的管理許可。它還允許與 CloudFront 相關的其他 AWS 服務資源的唯讀許可，並在 CloudFront 主控台中可見。

**許可詳細資訊**

此政策包含以下許可。
+ `s3:ListAllMyBuckets` – 允許主參與者取得所有 Amazon S3 儲存貯體的清單。
+ `acm:DescribeCertificate` – 允許主體取得 ACM 憑證的詳細資訊。
+ `acm:ListCertificates` – 允許主參與者取得 ACM 憑證清單。
+ `acm:RequestCertificate` – 允許主體從 ACM 請求受管憑證。
+ `cloudfront:*` – 允許主參與者在所有 CloudFront 資源上執行所有動作。
+ `cloudfront-keyvaluestore:*` - 允許主體對鍵值存放區執行所有動作。
+ `iam:ListServerCertificates` – 允許主參與者取得存放在 IAM 的伺服器憑證清單。
+ `waf:ListWebACLs` – 允許主參與者取得 AWS WAF的 Web ACL 清單。
+ `waf:GetWebACL` – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。
+ `waf:CreateWebACLs` – 允許主體在 中建立 Web ACL AWS WAF。
+ `wafv2:ListWebACLs` – 允許主參與者取得 AWS WAF的 Web ACL 清單。
+ `wafv2:GetWebACL` – 允許主參與者取得 AWS WAF Web ACL 的詳細資訊。
+ `kinesis:ListStreams` – 允許主參與者取得 Amazon Kinesis 串流的清單。
+ `elasticloadbalancing:DescribeLoadBalancers` - 允許主體取得 Elastic Load Balancing 中負載平衡器的詳細資訊。
+ `kinesis:DescribeStream` – 允許主參與者取得 Kinesis 串流的詳細資訊。
+ `iam:ListRoles` – 允許主參與者取得 IAM 中角色的清單。
+ `pricingplanmanager:AssociateResourcesToSubscription` - 允許主體將資源與訂閱建立關聯。這可讓資源涵蓋在訂閱的定價計劃中。
+ `pricingplanmanager:CancelSubscription` - 允許主體取消現有的訂閱。
+ `pricingplanmanager:CancelSubscriptionChange` - 允許主體在套用變更之前取消現有訂閱的待定變更，例如計劃升級。
+ `pricingplanmanager:CreateSubscription` - 允許主體建立定價計劃的訂閱。
+ `pricingplanmanager:DisassociateResourcesFromSubscription` - 允許主體移除資源與現有訂閱之間的關聯。
+ `pricingplanmanager:UpdateSubscription` - 允許主體修改現有的訂閱，例如變更定價計劃。
+ `pricingplanmanager:GetSubscription` – 允許主體唯讀存取，以取得有關定價計劃訂閱的詳細資訊。
+ `pricingplanmanager:ListSubscriptions` – 允許委託人唯讀存取列出定價計劃訂閱。
+ `ec2:DescribeInstances` - 允許主體取得 Amazon EC2 執行個體的詳細資訊。
+ `ec2:DescribeInternetGateways` - 允許主體取得 Amazon EC2 中網際網路閘道的詳細資訊。
+ `ec2:DescribeIpamPools` – 允許主體取得 IPAM 集區的詳細資訊。
+ `ec2:GetIpamPoolCidrs` – 允許主體取得佈建至 IPAM 集區的 CIDRs。

若要檢視此政策的許可權限，請參閱《*AWS 受管政策參考》*中的 [CloudFrontFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudFrontFullAccess.html)。

**重要**  
如果希望 CloudFront 能夠建立和儲存存取日誌，必須授予額外的許可。如需詳細資訊，請參閱[許可](standard-logging-legacy-s3.md#AccessLogsBucketAndFileOwnership)。

## AWS 受管政策：AWSCloudFrontLogger
<a name="security-iam-awsmanpol-cloudfront-logger"></a>

您無法將 **AWSCloudFrontLogger** 政策連接至您的 IAM 身分。此政策會連接到服務連結角色，而此角色可讓 CloudFront 代表您執行動作。如需詳細資訊，請參閱[Lambda@Edge 的服務連結角色](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge)。

此政策可讓 CloudFront 將日誌檔案推送至 Amazon CloudWatch。如需此政策中包含之許可的詳細資訊，請參閱 [CloudFront Logger 的服務連結角色許可](lambda-edge-permissions.md#slr-permissions-cloudfront-logger)。

若要檢視此政策的許可權限，請參閱《AWS 受管政策參考指南》**中的 [AWSCloudFrontLogger](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontLogger.html)。

## AWS 受管政策：AWSLambdaReplicator
<a name="security-iam-awsmanpol-lambda-replicator"></a>

您無法將 **AWSLambdaReplicator** 政策連接至您的 IAM 身分。此政策會連接到服務連結角色，而此角色可讓 CloudFront 代表您執行動作。如需詳細資訊，請參閱[Lambda@Edge 的服務連結角色](lambda-edge-permissions.md#using-service-linked-roles-lambda-edge)。

此政策允許 CloudFront 在 中建立、刪除和停用函數 AWS Lambda ，以複寫 Lambda@Edge 函數 AWS 區域。如需此政策中包含之許可的詳細資訊，請參閱 [Lambda Replicator 的服務連結角色許可](lambda-edge-permissions.md#slr-permissions-lambda-replicator)。

若要檢視此政策的許可權限，請參閱《AWS 受管政策參考指南》**中的 [AWSLambdaReplicator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSLambdaReplicator.html)。

## AWS 受管政策：AWSCloudFrontVPCOriginServiceRolePolicy
<a name="security-iam-awsmanpol-vpc-origin"></a>

您無法將 **AWSCloudFrontVPCOriginServiceRolePolicy** 政策附加至您的 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 CloudFront 代表您執行動作。如需詳細資訊，請參閱[使用適用於 CloudFront 的服務連結角色](using-service-linked-roles.md)。

此政策允許 CloudFront 代表您管理 EC2 彈性網路介面和安全群組。如需此政策中包含之許可的詳細資訊，請參閱 [適用於 CloudFront VPC Origins 的服務連結角色許可權限](using-service-linked-roles.md#slr-permissions)。

若要檢視此政策的許可權限，請參閱《AWS 受管政策參考指南》**中的 [AWSCloudFrontVPCOriginServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudFrontVPCOriginServiceRolePolicy.html)。

## AWS 受管政策的 CloudFront 更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更以來CloudFront AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱 CloudFront [文件歷程記錄](WhatsNew.md)頁面上的 RSS 摘要。




| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 更新現有政策  |  CloudFront 新增了 Amazon EC2 的許可。 新的許可允許主體使用 `ec2:DescribeIpamPools`和 `ec2:GetIpamPoolCidrs`動作。  | 2025 年 11 月 24 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 更新現有政策  |  CloudFront 新增了 Amazon EC2 的許可。 新的許可允許主體使用 `ec2:DescribeIpamPools`和 `ec2:GetIpamPoolCidrs`動作。  | 2025 年 11 月 24 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 更新現有政策  |  CloudFront 新增了建立新 AWS WAF ACL 資源的許可，並將建立、更新、刪除和讀取許可新增至 AWS 定價計劃管理員。  | 2025 年 11 月 18 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 更新現有政策  |  CloudFront 新增了建立新 AWS WAF ACL 資源的許可，並將建立、更新、刪除和讀取許可新增至 AWS 定價計劃管理員。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 更新現有政策  |  CloudFront 新增了對 AWS Pricing Plan Manager 的唯讀存取的新許可。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 更新現有政策  |  CloudFront 新增了對 AWS Pricing Plan Manager 的唯讀存取的新許可。  | 2025 年 11 月 18 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) – 更新現有政策  |  CloudFront 新增了 ACM 的新許可權限。 新的許可權限可讓主體取得 ACM 憑證的詳細資訊。  | 2025 年 4 月 28 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 更新現有政策  |  CloudFront 新增了 ACM 的新許可權限。 新的許可權限可讓主體取得 ACM 憑證的詳細資訊，以及向 ACM 請求受管憑證。  | 2025 年 4 月 28 日 | 
|  [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 更新現有政策  |  CloudFront 新增了 Amazon EC2 和 Elastic Load Balancing 的新許可權限。 新的許可權限可讓 CloudFront 取得 Elastic Load Balancing 中負載平衡器和 Amazon EC2 中執行個體和網際網路閘道的詳細資訊。  | 2024 年 11 月 20 日 | 
|  [AWSCloudFrontVPCOriginServiceRolePolicy](#security-iam-awsmanpol-vpc-origin)：新政策  |  CloudFront 新增了新的政策。 此政策允許 CloudFront 代表您管理 EC2 彈性網路介面和安全群組。  | 2024 年 11 月 20 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) 和 [CloudFrontFullAccess](#security-iam-awsmanpol-cloudfront-full-access) – 對兩個現有政策的更新。  |  CloudFront 針對鍵值存放區新增了新的許可權限。 新許可權限可讓使用者取得有關鍵值存放區的資訊，並對其採取動作。  | 2023 年 12 月 19 日 | 
|  [CloudFrontReadOnlyAccess](#security-iam-awsmanpol-cloudfront-read-only) - 更新為現有政策  |  CloudFront 新增了描述 CloudFront 函數的新許可權限。 此許可權限能讓使用者、群組或角色讀取函數的相關資訊和中繼資料，但不能讀取函數的程式碼。  | 2021 年 9 月 8 日 | 
|  CloudFront 開始追蹤變更  |  CloudFront 開始追蹤其 AWS 受管政策的變更。  | 2021 年 9 月 8 日 |