Wie kann ich 403-Fehler in CloudFront beheben?

Lesedauer: 4 Minute
0

Ich verwende Amazon CloudFront für die Bereitstellung von Inhalten. Meine Benutzer erhalten einen HTTP 403-Fehler mit den Nachrichten "Die Anforderung konnte nicht erfüllt werden" oder "Zugriff abgelehnt".

Behebung

Der Domainname ist nicht mit einem alternativen Domainnamen (CNAME) auf einer Distribution verbunden

Wenn Sie ein Domain Name System (DNS) erstellen, aber keinen CNAME in Ihrer CloudFront-Verteilungskonfiguration hinzufügen, gibt CloudFront einen 403-Fehler zurück. Dies geschieht auch dann, wenn der CNAME auf DNS-Ebene an CloudFront weitergeleitet wird.

Um einen CNAME anstelle der standardmäßigen CloudFront-URL zu verwenden, folgen Sie den Anweisungen unter Hinzufügen eines alternativen Domainnamens.

Weitere Informationen finden Sie unter Verwenden benutzerdefinierter URLs durch Hinzufügen alternativer Domainnamen (CNames).

CloudFront geografische Einschränkungen wurden für die Verteilung konfiguriert

Geografische Einschränkungen von CloudFront können verhindern, dass Benutzer in bestimmten Ländern auf Ihre Inhalte zugreifen können. Wenn geografische Einschränkungen den Fehler verursachen, enthält die 403-Antwort eine Meldung ähnlich der folgenden: „Die Amazon CloudFront-Distribution ist so konfiguriert, dass sie den Zugriff aus Ihrem Land blockiert wird.“ Auch der Antwort-Header-Server: CloudFront ist vorhanden. Der entsprechende CloudFront-Zugriffsprotokolleintrag enthält ClientGeoBlocked als Wert für x-edge-detailed-result-type.

Weitere Informationen finden Sie unter Einschränkung der geografischen Verbreitung Ihrer Inhalte.

AWS WAF ist für die CloudFront-Verteilung konfiguriert und blockiert die Anforderung

Wenn Sie AWS WAF verwenden, um weitergeleitete Anforderungen zu überwachen, und der angeforderte Inhalt nicht den angegebenen Bedingungen entspricht, wird der Inhalt von WAF blockiert. Sie erhalten einen 403-Fehler. In diesem Fall enthält der Fehler eine Meldung ähnlich der folgenden: „Anfrage blockiert. Wir können derzeit keine Verbindung mit der Server für diese App oder Website herstellen“. Der Server-Antwort-Header enthält CloudFront als Wert. Der entsprechende Zugriffsprotokolleintrag hat Error als den Wert für x-edge-detailed-result-type.

Die gleiche Fehlermeldung und ein Antwort-Header-Wert von Cloudfront  können vorhanden sein, wenn der Grund für die Blockierung der Anforderung nicht AWS WAF ist.Um zu bestätigen, dass die Anfrage von AWS WAF blockiert wird, und um die Regel zu identifizieren, die Anfrage blockiert hat, überprüfen Sie die AWS WAF-Protokolle auf die blockierte Anfrage. Oder überprüfen Sie die AWS WAF CloudFront-Metriken für die entsprechende WebACL. Überprüfen Sie dann die WebACL, um zu sehen, welche Regeln blockiert sind. Weitere Informationen finden Sie unter Testen und Abstimmen des Ihres AWS WAF-Schutzes.

Ein Amazon S3-Ursprung gibt einen 403-Fehler zurück

Basierend auf Ihrer Amazon Simple Storage Service (Amazon S3) als Ursprungskonfiguration finden Sie im Folgenden Hinweise zur Fehlerbehebung:

Ich verwende einen S3-Website-Endpunkt als Ursprung für meiner CloudFront-Verteilung. Warum erhalte ich die Fehlermeldung 403 Zugriff verweigert?

Ich verwende einen S3-REST-API-Endpunkt als Ursprung meiner CloudFront-Verteilung. Warum erhalte ich die Fehlermeldung 403 Zugriff verweigert?

Ein benutzerdefinierter Ursprung gibt den 403-Fehler zurück

Ein 403-Fehler kann von einem Ursprung aufgrund einer Anwendungs-Firewall oder aus anderen Gründen beim benutzerdefinierten Ursprung zurückgegeben werden. Wenn die Antwort einen Server-Header ohne den Wert CloudFront enthält, kann der Fehler möglicherweise vom benutzerdefinierten Ursprung zurückgegeben werden.

Um festzustellen, ob der Fehler vom benutzerdefinierten Ursprung zurückgegeben wird, überprüfen Sie die HTTP-Zugriffsprotokolle des Ursprungs.

Wenn Sie die ursprünglichen HTTP-Zugriffsprotokolle nicht überprüfen können, verwenden Sie die folgenden Methoden zur Fehlerbehebung:

  • Überprüfen Sie die CloudFront-Zugriffsprotokolle. Wenn das Zeitfeld für die blockierte Anfrage deutlich kleiner ist als der Durchschnitt des Zeitfeldes, dann könnte die Antwort nicht vom Absender stammen. Ein niedriger Wert imZeitfeld zeigt an, dass eine Antwort vom Edge-Standort aus gesendet wurde.
  • Richten Sie die Anfrage direkt an den Ursprung. Wenn Sie den Fehler replizieren können, ohne über CloudFront zu gehen, dann könnte der Ursprung den 403-Fehler zurückgeben.

Der Fehler wird durch eine signierte URL oder eine signierte Cookie-Konfiguration verursacht

Wenn Sie für die Verhaltenskonfiguration von CloudFront die Option ** Viewer-Zugriff einschränken** aktiviert haben, erhalten Sie bei Anfragen, die ohne signierte Cookies oder URLs gestellt werden, zu einem 403-Fehler.

Weitere Informationen zur Konfiguration von signierter Cookies und signierter URLs finden Sie unter Bereitstellen von privaten Inhalten mit signierten URLs und signierten Cookies.

Schritte zur Fehlerbehebung finden Sie unter Wie behebe ich Probleme im Zusammenhang mit einer signierten URL oder signierten Cookies in CloudFront?

Die Verteilung mit Viewer-Protokollrichtlinie ist nicht für HTTP und HTTPS konfiguriert

Wenn die HTTP-Anforderung an eine Verteilung gesendet wird, für die in der Viewer-Protokollrichtlinie nur HTTPS eingestellt ist, kann die Anforderung einen Fehler 403 zurückgeben.

Weitere Informationen finden Sie unter Erfordernis von HTTPS für die Kommunikation zwischen Betrachtern und CloudFront erforderlich.

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr