¿Cómo soluciono los errores 403 de CloudFront?

5 minutos de lectura

Utilizo Amazon CloudFront para publicar contenido. Mis usuarios están recibiendo un error HTTP 403 con los mensajes «No se ha podido completar la solicitud» o «Acceso denegado».

Resolución

El nombre del dominio no está asociado a un nombre de dominio alternativo (CNAME) en una distribución

Si crea un sistema de nombres de dominio (DNS) pero no agrega un CNAME a la configuración de distribución de CloudFront, CloudFront devolverá un error 403. Esto ocurre incluso si el CNAME se redirige hacia CloudFront en el nivel de DNS.

Para usar un CNAME en lugar de la URL predeterminada de CloudFront, siga las instrucciones para Agregar un nombre de dominio alternativo.

Para obtener más información, consulte Uso de URL personalizadas mediante la adición de nombres de dominio alternativos (CNAME).

Se han configurado las restricciones geográficas de CloudFront en la distribución

Las restricciones geográficas de CloudFront pueden impedir que los usuarios de países específicos accedan a su contenido. Si el error está provocado por restricciones geográficas, la respuesta 403 contiene un mensaje similar al siguiente: «La distribución de Amazon CloudFront está configurada para bloquear el acceso desde su país». Además, el encabezado de respuesta Servidor: CloudFront está presente. La entrada del registro de acceso de CloudFront correspondiente contiene ClientGeoBlocked como valor para x-edge-detailed-result-type.

Para obtener más información, consulte Restringir la distribución geográfica del contenido.

AWS WAF está configurado en la distribución de CloudFront y está bloqueando la solicitud

Si utiliza AWS WAF para supervisar las solicitudes reenviadas y el contenido solicitado no cumple las condiciones especificadas, WAF bloqueará el contenido. Recibirá un error 403. En este caso, el error contendrá un mensaje similar al siguiente: «Solicitud bloqueada. No podemos conectarnos al servidor de esta aplicación o sitio web en este momento». El encabezado de respuesta del Servidor contiene CloudFront como valor. La entrada del registro de acceso correspondiente tiene Error como valor para x-edge-detailed-result-type.

Es posible que aparezcan el mismo mensaje de error y el mismo valor de encabezado de respuesta de Cloudfront si el motivo por el que se bloquea la solicitud no es AWS WAF. Para confirmar que AWS WAF ha bloqueado la solicitud e identificar la regla que la bloqueó, consulte los registros AWS WAF de la solicitud bloqueada. O consulte las métricas de AWS WAF CloudFront para ver la WebACL correspondiente. A continuación, compruebe la WebACL para ver las reglas que están bloqueadas. Para obtener más información, consulte Probar y ajustar las protecciones de AWS WAF.

Un origen de Amazon S3 devuelve un error 403

Según su configuración de origen de Amazon Simple Storage Service (Amazon S3), consulte lo siguiente para solucionar problemas:

Estoy utilizando un punto de conexión de sitio web de S3 como origen de mi distribución de CloudFront. ¿Por qué aparecen los errores 403 Access Denied (Acceso denegado)?

Estoy utilizando un punto de conexión de la API de REST S3 como origen de mi distribución de CloudFront. ¿Por qué aparecen los errores 403 Access Denied (Acceso denegado)?

Un origen personalizado devuelve el error 403

Un origen puede devolver un error 403 debido a un firewall de la aplicación u otro motivo en el origen personalizado. Si la respuesta contiene un encabezado de servidor sin el valor CloudFront, es posible que el error provenga del origen personalizado.

Para determinar si el error proviene del origen personalizado, compruebe los registros de acceso HTTP de origen.

Si no puede comprobar los registros de acceso HTTP de origen, utilice los siguientes métodos de solución de problemas:

Consulte los registros de acceso de CloudFront. Si el campo tiempo dedicado para la solicitud bloqueada es significativamente inferior al promedio del campo de tiempo dedicado, es posible que la respuesta no provenga del origen. Un valor bajo en el campo tiempo dedicado indica que se envió una respuesta desde la ubicación periférica.
Realice la solicitud directamente al origen. Si puede replicar el error sin pasar por CloudFront, es posible que el origen devuelva el error 403.

El error se debe a una URL firmada o a una configuración de cookies firmadas

Si tiene activada la opción de Restringir acceso de espectadores en la configuración de comportamiento de CloudFront, las solicitudes realizadas sin utilizar cookies firmadas ni URL generarán un error 403.

Para obtener más información sobre la configuración de las cookies y las URL firmadas, consulte Servicio de contenido privado con URL firmadas y cookies firmadas.

Para consultar los pasos de solución de problemas, consulte ¿Cómo soluciono los problemas relacionados con una URL firmada o las cookies firmadas en CloudFront?

La política de protocolo de distribución con visor no está configurada para HTTP y HTTPS

Si la solicitud HTTP se envía a una distribución cuya política de Viewer Protocol está configurada únicamente enHTTPS, la solicitud puede devolver un error 403.

Para obtener más información, consulte Solicitar HTTPS para la comunicación entre espectadores y CloudFront.

Temas

Redes y entrega de contenido

Etiquetas

Amazon CloudFront

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo soluciono los errores HTTP 403 Forbidden (Prohibido) de un nombre de dominio personalizado de API Gateway que requiere una TLS mutua?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo resolver el error «CNAMEAlreadyExists» al crear un nombre de dominio personalizado optimizado para periferia para la API Gateway?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los errores al crear un dominio personalizado en Amazon Cognito?
OFICIAL DE AWSActualizada hace un año
¿Por qué CloudFront no proporciona mi nombre de dominio a través de HTTPS?
OFICIAL DE AWSActualizada hace un año