Pourquoi l'erreur HTTP 403 Forbidden (HTTP 403 Interdit) est-elle générée lorsque je me connecte à mes API d'API Gateway à partir d'un VPC ?

Date de la dernière mise à jour : 2020-02-17

J'appelle mes API d'Amazon API Gateway depuis mon Amazon Virtual Private Cloud (Amazon VPC), mais je reçois une erreur HTTP 403 « Forbidden » (Interdit). Pourquoi ?

Brève description

Si vous recevez cette erreur lors de la connexion à vos API publiques API Gateway à partir d'un Amazon VPC, vérifiez s'il existe un point de terminaison d'un VPC d'interface pour API Gateway associé à ce VPC et dont le DNS privé est activé. Lorsque le DNS privé est activé pour un point de terminaison d'un VPC d'interface associé à un VPC, toutes les demandes du VPC vers les API API Gateway sont résolues sur ce point de terminaison de VPC, et vous ne pouvez pas vous connecter aux API publiques via un point de terminaison d'un VPC.

Solution

Vérifiez votre Amazon VPC pour déterminer si vous (ou une autre identité AWS Identity and Access Management (IAM) ayant un accès partagé à vos ressources AWS) avez créé un point de terminaison d'un VPC d'interface pour accéder à une API privée API Gateway. S'il existe un point de terminaison d'interface, vérifiez que le paramètre DNS privé est activé. Pour plus d'informations, consultez Prise en charge de DNS dans votre VPC.

Se connecter aux API publiques avec le DNS privé activé

Si le DNS privé est activé, utilisez des nom de domaine personnalisés optimisés pour la périphérie ou des noms de domaine personnalisés régionaux pour vous connecter aux API publiques.

Remarque : lorsque vous configurez des enregistrements DNS pour un nom de domaine personnalisé régional, vous devez utiliser des enregistrements d'alias de type A. Cependant, avec les noms de domaine personnalisés optimisés pour la périphérie, vous pouvez utiliser des enregistrements d'alias de type A ou des enregistrements CNAME. Pour plus d'informations, consultez Définition d'un nom de domaine personnalisé pour une API dans API Gateway.

Se connecter aux API publiques avec le DNS privé désactivé

Si le DNS privé est désactivé pour un point de terminaison d'un VPC d'interface pour API Gateway, ou que vous ne disposez pas de point de terminaison d'interface dans l'Amazon VPC, vérifiez que :

Lorsque votre Amazon VPC est autorisé à accéder à vos API publiques, utilisez le DNS public pour vous connecter à vos API publiques. Pour plus d'information, consultez Contrôle et gestion de l'accès à une API REST dans API Gateway.

(Facultatif) Modifier le paramètre DNS privé d'un point de terminaison d'un VPC d'interface

Vous pouvez modifier le paramètre DNS privé d'un point de terminaison d'un VPC d'interface à tout moment. La modification de ce paramètre désactive ou active la résolution de l'URL d'étape d'une API dans l'adresse IP privée du point de terminaison du VPC d'interface.

Remarque : la modification de ce paramètre modifie également la façon dont vous vous connectez à vos API privées et à vos API publiques depuis votre Amazon VPC.

  1. Ouvrez le volet Endpoints (Points de terminaison) de la console Amazon VPC.
  2. Sélectionnez votre point de terminaison d'un VPC d'interface.
  3. Choisissez Actions, puis Modify Private DNS names (Modifier les noms DNS privés).
  4. Pour Enable Private DNS Name, (Activer le nom DNS privé), cochez ou désélectionnez la case (Enable for this endpoint) (Activer pour ce point de terminaison).
  5. Choisissez Modify Private DNS names (Modifier les noms DNS privés).

Pour plus d'informations, consultez Affichage et mise à jour de la prise en charge de DNS pour votre VPC.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?