CloudFront策略僅使特定分佈無效

Question

我正在使用S3存儲區存儲文件，並使用CloudFront分配它們。我有一個自動處理同步的工具，它工作的很好。

但是，我希望能夠以編程方式創建CloudFront失效。我需要在工具策略中添加什麼聲明才能允許爲此特定分發創建失效？

現在，我有這樣的說法：

{ 
    "Effect": "Allow", 
    "Action": [ 
     "cloudfront:CreateInvalidation" 
    ], 
    "Resource": "*" 
} 

但是，正如你所看到的，它允許在賬戶的資金分配創建廢票。

我試圖使用這些值Resource屬性，但由於某種原因，該工具給了我一個錯誤，他說，訪問被拒絕：

• arn:aws:cloudfront::12345678:distribution/ABCDEFG
• arn:aws:cloudfront:::distribution/ABCDEFG

我需要在Resource屬性中指定哪些屬性，以便僅爲特定分配創建失效？

例如，它的ARN是arn:aws:cloudfront::12345678:distribution/ABCDEFG。

Answer 1

cloudfront:CreateInvalidation命令不支持資源級權限。因此，僅支持*。因此，不可能將用戶/角色限制爲只能使特定分配無效。

來源：http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cf-api-permissions-ref.html