Come posso risolvere gli errori 403 di CloudFront?

4 minuti di lettura

Sto usando Amazon CloudFront per fornire contenuti. I miei utenti ricevono un errore HTTP 403 con i messaggi "Impossibile soddisfare la richiesta" o "Accesso negato".

Risoluzione

Il nome di dominio non è associato a un nome di dominio alternativo (CNAME) su una distribuzione

Se crei un sistema dei nomi di dominio (DNS) ma non aggiungi un CNAME nella configurazione di distribuzione CloudFront, CloudFront restituisce un errore 403. Ciò si verifica anche se il CNAME viene reindirizzato verso CloudFront a livello DNS.

Per utilizzare un CNAME anziché l'URL CloudFront predefinito, segui le istruzioni per aggiungere un nome di dominio alternativo.

Per ulteriori informazioni, consulta Utilizzo di URL personalizzati aggiungendo nomi di dominio alternativi (CNAME).

Le restrizioni geografiche di CloudFront sono state configurate sulla distribuzione

Le restrizioni geografiche di CloudFront possono impedire agli utenti di determinati paesi di accedere ai tuoi contenuti. Se l'errore è causato da restrizioni geografiche, la risposta 403 contiene un messaggio simile a: "La distribuzione Amazon CloudFront è configurata per bloccare l'accesso dal tuo paese". Inoltre, l'intestazione della risposta Server: CloudFront è presente. La voce del log di accesso CloudFront corrispondente contiene ClientGeoBlocked come valore per x-edge-detailed-result-type.

Per ulteriori informazioni, consulta Limitazione della distribuzione geografica del contenuto.

AWS WAF è configurato sulla distribuzione CloudFront e sta bloccando la richiesta

Se utilizzi AWS WAF per monitorare le richieste inoltrate e il contenuto richiesto non corrisponde alle condizioni specificate, il contenuto viene bloccato da WAF. Viene visualizzato un errore 403. In questo caso, l'errore contiene un messaggio simile a: "Richiesta bloccata. Al momento è impossibile connettersi al server di questa app o al sito web". L'intestazione della risposta Server contiene CloudFront come valore. La voce del log di accesso corrispondente ha Error come valore per x-edge-detailed-result-type.

Lo stesso messaggio di errore e lo stesso valore dell'intestazione di risposta di Cloudfront potrebbero essere presenti quando il motivo per cui la richiesta è bloccata non è AWS WAF. Per confermare che la richiesta è stata bloccata da AWS WAF e identificare la regola che l'ha bloccata, controlla i log AWS WAF relativi alla richiesta bloccata. Oppure, controlla le metriche AWS WAF di CloudFront per il WebACL pertinente. Quindi, controlla il WebACL per vedere le regole bloccate. Per ulteriori informazioni, consulta Test e regolazione delle tue protezioni AWS WAF.

Un'origine Amazon S3 restituisce un errore 403

In base alla configurazione di origine di Amazon Simple Storage Service (Amazon S3), consulta quanto segue per la risoluzione dei problemi:

Sto utilizzando un endpoint del sito Web S3 come origine della mia distribuzione CloudFront. Perché continuo a ricevere gli errori 403 di accesso negato?

Sto usando un endpoint dell'API REST S3 come origine della mia distribuzione CloudFront. Perché continuo a ricevere gli errori 403 di accesso negato?

Un'origine personalizzata restituisce l'errore 403

Un errore 403 può essere restituito da un'origine a causa di un firewall dell'applicazione o per altri motivi presso l'origine personalizzata. Se la risposta contiene un'intestazione Server senza il valore CloudFront, l'errore potrebbe essere restituito dall'origine personalizzata.

Per determinare se l'errore viene restituito dall'origine personalizzata, controlla i log di accesso HTTP di origine.

Se non riesci a controllare i log di accesso HTTP di origine, utilizza i seguenti metodi di risoluzione dei problemi:

Controlla i log di accesso di CloudFront. Se il campo time-taken per la richiesta bloccata è significativamente inferiore alla media del campo time-taken, la risposta potrebbe non provenire dall'origine. Un valore basso nel campo time-taken indica che una risposta è stata inviata dalla posizione edge.
Effettua la richiesta direttamente all'origine. Se riesci a replicare l'errore senza utilizzare CloudFront, l'origine potrebbe restituire l'errore 403.

L'errore è causato da un URL firmato o da una configurazione di cookie firmati

Se hai attivato Limita l’accesso ai visualizzatori per la configurazione del comportamento di CloudFront, le richieste effettuate senza utilizzare cookie o URL firmati generano un errore 403.

Per ulteriori informazioni sulla configurazione dei cookie e degli URL firmati, vedi Esecuzione di contenuti privati con URL firmati e cookie firmati.

Per la procedura di risoluzione dei problemi, consulta Come posso risolvere i problemi relativi a URL o cookie firmati in CloudFront?

La distribuzione con la policy protocollo visualizzatore non è configurata per HTTP e HTTPS

Se la richiesta HTTP viene inviata a una distribuzione con l'impostazione Policy protocollo visualizzatore solo su HTTPS, la richiesta può restituire un errore 403.

Per ulteriori informazioni, consulta Richiesta di HTTPS per la comunicazione tra visualizzatori e CloudFront.

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon CloudFront

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso configurare CloudFront affinché pubblichi i miei contenuti utilizzando un nome di dominio alternativo su HTTPS?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere gli errori HTTP 403 Forbidden (Non consentito) relativi a un nome di dominio personalizzato di Gateway API che richiede l'autenticazione TLS reciproca?
AWS UFFICIALEAggiornata un anno fa
Come si risolvono gli errori di risoluzione DNS o di mancata corrispondenza dei certificati SSL per il nome di dominio personalizzato di Gateway API?
AWS UFFICIALEAggiornata un anno fa
Perché CloudFront non fornisce il mio nome di dominio tramite HTTPS?
AWS UFFICIALEAggiornata un anno fa