Pourquoi l'erreur HTTP 403 Forbidden (HTTP 403 Interdit) est-elle générée lorsque je me connecte à mes API d'API Gateway à partir d'un VPC?

Date de la dernière mise à jour : 16/12/2020

J'appelle mes API d'Amazon API Gateway depuis mon Amazon Virtual Private Cloud (Amazon VPC), mais je reçois une erreur HTTP 403 « Forbidden » (Interdit). Comment cela se fait-il ?

Brève description

Cette erreur HTTP 403 se produit le plus souvent lorsque le DNS privé est activé pour un point de terminaison d'un VPC d'interface d'API Gateway qui est associé à un VPC Amazon. Lorsque cela se produit, toutes les demandes du VPC vers l'API d'API Gateway résolvent vers ce point de terminaison d'un VPC d'interface. Cependant, il n'est pas possible de se connecter à des API publiques à l'aide d'un point de terminaison d'un VPC.

Si le DNS privé est désactivé pour le point de terminaison d'un VPC de l'interface, ou qu'il n'y a pas de point de terminaison dans votre Amazon VPC, consultez la section DNS privée désactivée.

Résolution

Vérifiez si le DNS privé est activé pour un point de terminaison d'un VPC d'interface associé à votre Amazon VPC

Vérifiez votre Amazon VPC pour voir s'il existe un point de terminaison d'un VPC d'interface permettant d'accéder à une API privée d'API Gateway. S'il existe un point de terminaison d'interface, vérifiez que le paramètre DNS privé est activé. Pour plus d'informations, consultez Prise en charge de DNS dans votre VPC.

Se connecter aux API publiques avec le DNS privé activé

Si le DNS privé est activé, utilisez des nom de domaine personnalisés optimisés pour la périphérie ou des noms de domaine personnalisés régionaux pour vous connecter aux API publiques.

Important : les ressources de votre VPC qui tentent de se connecter à vos API publiques doivent avoir une connectivité Internet. En outre, lorsque vous configurez des enregistrements DNS pour un nom de domaine personnalisé régional, vous devez utiliser des enregistrements d'alias de type A. Cependant, avec les noms de domaine personnalisés optimisés pour la périphérie, vous pouvez utiliser des enregistrements d'alias de type A ou des enregistrements CNAME. Pour plus d'informations, consultez Définition d'un nom de domaine personnalisé pour une API dans API Gateway.

Se connecter aux API publiques avec le DNS privé désactivé

Si le DNS privé est désactivé pour le point de terminaison d'un VPC de l'interface, ou qu'il n'y a pas de point de terminaison dans votre Amazon VPC, confirmez si les conditions suivantes sont remplies :

Lorsque votre Amazon VPC est autorisé à accéder à vos API publiques, utilisez le DNS public pour vous connecter à vos API publiques. Pour plus d'information, consultez Contrôle et gestion de l'accès à une API REST dans API Gateway.

(Facultatif) Modifier le paramètre DNS privé d'un point de terminaison d'un VPC d'interface

Vous pouvez modifier le paramètre DNS privé d'un point de terminaison d'un VPC d'interface à tout moment. La modification de ce paramètre désactive ou active la résolution de l'URL d'étape d'une API dans l'adresse IP privée du point de terminaison du VPC d'interface.

Remarque : la modification de ce paramètre modifie également la façon dont vous vous connectez à vos API privées et à vos API publiques depuis votre Amazon VPC.

  1. Ouvrez le volet Endpoints (Points de terminaison) de la console Amazon VPC.
  2. Sélectionnez votre point de terminaison d'un VPC d'interface.
  3. Choisissez Actions, puis Modify Private DNS names (Modifier les noms DNS privés).
  4. Pour Enable Private DNS Name, (Activer le nom DNS privé), cochez ou désélectionnez la case (Enable for this endpoint) (Activer pour ce point de terminaison).
  5. Choisissez Modify Private DNS names (Modifier les noms DNS privés).

Pour plus d'informations, consultez Affichage et mise à jour de la prise en charge de DNS pour votre VPC.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?