Como resolvo os erros tipo 403 do CloudFront?

5 minuto de leitura

Estou usando o Amazon CloudFront para fornecer conteúdo. Meus usuários estão recebendo erros HTTP 403 com as mensagens "The request could not be satisfied" (Não foi possível atender à solicitação) ou "Access Denied" (Acesso negado).

Solução

Falta associar o nome do domínio a um nome de domínio alternativo (CNAME) em uma distribuição

Se você criar um Sistema de Nomes de Domínio (DNS), mas não adicionar um CNAME na configuração de distribuição do CloudFront, o CloudFront apresenta erro 403. Mesmo se o CNAME tiver sido redirecionado para o CloudFront no nível do DNS, vai apresentar esse erro.

Para usar um CNAME em vez do URL padrão do CloudFront, siga as instruções para Adicionar um nome de domínio alternativo.

Para obter mais informações, consulte Usar URLs personalizados adicionando nomes de domínio alternativos (CNAMEs).

Restrições geográficas do CloudFront foram configuradas na distribuição

Restrições geográficas do CloudFront podem impedir que usuários em países específicos acessem seu conteúdo. Se houver um erro devido às restrições geográficas, a resposta 403 conterá uma mensagem semelhante a: "The Amazon CloudFront distribution is configured to block access from your country" (A distribuição do Amazon CloudFront está configurada para bloquear o acesso do seu país). Além disso, o cabeçalho de resposta Server: CloudFront está presente. A entrada correspondente do registro de acesso do CloudFront contém ClientGeoBlocked como valor para x-edge-detailed-result-type.

Para obter mais informações, consulte Restringir a distribuição geográfica do seu conteúdo.

O AWS WAF está configurado na distribuição do CloudFront e está bloqueando a solicitação

Se você estiver usando o AWS WAF para monitorar as solicitações encaminhadas e o conteúdo solicitado não corresponder às condições especificadas, o conteúdo será bloqueado pelo WAF. Você recebe um erro 403. Nesse caso, o erro contém uma mensagem semelhante a: "Request blocked. We can't connect to the server for this app or website at this time." (Solicitação bloqueada. Não é possível conectar ao servidor desse aplicativo ou site no momento.) No cabeçalho de resposta do Servidor o CloudFront se apresenta como um valor. Na entrada do registro de acesso correspondente tem o Erro como um valor para x-edge-detailed-result-type.

A mesma mensagem de erro e um valor de cabeçalho de resposta do** Cloudfront** podem estar presentes quando o motivo do bloqueio da solicitação não for o AWS WAF. Para confirmar a solicitação foi bloqueada pelo AWS WAF e identificar a regra que causou o bloqueio, procure a solicitação bloqueada nos logs do AWS WAF. Ou verifique as métricas do AWS WAF CloudFront no WebACL relevante. Em seguida, confira no WebACL as regras de bloqueio. Para obter mais informações, consulte Testar e ajustar as suas proteções do AWS WAF.

Uma origem do Amazon S3 está retornando um erro 403

Com base na configuração de origem do Amazon Simple Storage Service (Amazon S3), consulte os respectivos itens para solucionar quaisquer problemas:

Estou usando um endpoint de site S3 como origem da minha distribuição do CloudFront. Por que estou recebendo erros 403 de Acesso Negado?

Estou usando um endpoint API REST do S3 como origem da minha distribuição do CloudFront. Por que estou recebendo erros 403 de Acesso Negado?

Uma origem personalizada está retornando o erro 403

Um erro 403 pode ser retornado por uma origem devido a um firewall do aplicativo ou por outro motivo específico de origem personalizada. Se houver um cabeçalho de servidor sem o valor CloudFront na resposta, o erro poderá ter vindo da origem personalizada.

Para determinar se o erro está vindo da origem personalizada, verifique os registros de acesso HTTP da origem.

Se você não conseguir verificar os registros de acesso HTTP de origem, use os seguintes métodos de solução de problemas:

Verifique os registros de acesso do CloudFront. Se o campo tempo gasto da solicitação bloqueada for significativamente menor do que a média do campo tempo gasto, a resposta pode não ter vindo da origem. Um valor baixo no campo tempo gasto indica que uma resposta foi enviada do local da borda.
Faça a solicitação para a origem diretamente. Se você puder replicar o erro sem passar pelo CloudFront, quer dizer que a origem pode estar retornando o erro 403.

O erro é causado por uma configuração de sinalização de URL ou cookies

Se você tiver Restringir acesso de visualizador ativado na configuração de comportamento do CloudFront, as solicitações feitas sem o uso de sinalização de cookies ou URL resultarão em um erro 403.

Para obter mais informações sobre como configurar cookies sinalizados e URLs sinalizados, consulte Fornecimento de conteúdo privado com URLs sinalizados e cookies sinalizados.

Para as etapas de solução de problemas, consulte Como soluciono problemas relacionados a um URL sinalizado ou a cookies sinalizados no CloudFront?

Distribuição com política de protocolo de visualizador não configurada para HTTP e HTTPS

Se a solicitação HTTP for enviada para uma distribuição com a configuração da Política de Protocolo de Visualizador de HTTPS somente, a solicitação poderá retornar um erro 403.

Para obter mais informações, consulte Exigir HTTPS para comunicação entre visualizadores e o CloudFront.

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Por que o CloudFront não está atendendo meu nome de domínio via HTTPS?
AWS OFICIALAtualizada há um ano
Como posso resolver o erro “CNameAlreadyExists” ao criar um nome de domínio personalizado otimizado para borda para minha API do API Gateway?
AWS OFICIALAtualizada há 2 anos
Como posso configurar um nome de domínio personalizado para minha API do API Gateway?
AWS OFICIALAtualizada há 2 anos
Como posso configurar o CloudFront para servir meu conteúdo usando um nome de domínio alternativo em HTTPS?
AWS OFICIALAtualizada há 2 anos