¿Cómo soluciono los errores 403 de CloudFront?
Utilizo Amazon CloudFront para publicar contenido. Mis usuarios están recibiendo un error HTTP 403 con los mensajes «No se ha podido completar la solicitud» o «Acceso denegado».
Resolución
El nombre del dominio no está asociado a un nombre de dominio alternativo (CNAME) en una distribución
Si crea un sistema de nombres de dominio (DNS) pero no agrega un CNAME a la configuración de distribución de CloudFront, CloudFront devolverá un error 403. Esto ocurre incluso si el CNAME se redirige hacia CloudFront en el nivel de DNS.
Para usar un CNAME en lugar de la URL predeterminada de CloudFront, siga las instrucciones para Agregar un nombre de dominio alternativo.
Para obtener más información, consulte Uso de URL personalizadas mediante la adición de nombres de dominio alternativos (CNAME).
Se han configurado las restricciones geográficas de CloudFront en la distribución
Las restricciones geográficas de CloudFront pueden impedir que los usuarios de países específicos accedan a su contenido. Si el error está provocado por restricciones geográficas, la respuesta 403 contiene un mensaje similar al siguiente: «La distribución de Amazon CloudFront está configurada para bloquear el acceso desde su país». Además, el encabezado de respuesta Servidor: CloudFront está presente. La entrada del registro de acceso de CloudFront correspondiente contiene ClientGeoBlocked como valor para x-edge-detailed-result-type.
Para obtener más información, consulte Restringir la distribución geográfica del contenido.
AWS WAF está configurado en la distribución de CloudFront y está bloqueando la solicitud
Si utiliza AWS WAF para supervisar las solicitudes reenviadas y el contenido solicitado no cumple las condiciones especificadas, WAF bloqueará el contenido. Recibirá un error 403. En este caso, el error contendrá un mensaje similar al siguiente: «Solicitud bloqueada. No podemos conectarnos al servidor de esta aplicación o sitio web en este momento». El encabezado de respuesta del Servidor contiene CloudFront como valor. La entrada del registro de acceso correspondiente tiene Error como valor para x-edge-detailed-result-type.
Es posible que aparezcan el mismo mensaje de error y el mismo valor de encabezado de respuesta de Cloudfront si el motivo por el que se bloquea la solicitud no es AWS WAF. Para confirmar que AWS WAF ha bloqueado la solicitud e identificar la regla que la bloqueó, consulte los registros AWS WAF de la solicitud bloqueada. O consulte las métricas de AWS WAF CloudFront para ver la WebACL correspondiente. A continuación, compruebe la WebACL para ver las reglas que están bloqueadas. Para obtener más información, consulte Probar y ajustar las protecciones de AWS WAF.
Un origen de Amazon S3 devuelve un error 403
Según su configuración de origen de Amazon Simple Storage Service (Amazon S3), consulte lo siguiente para solucionar problemas:
Un origen personalizado devuelve el error 403
Un origen puede devolver un error 403 debido a un firewall de la aplicación u otro motivo en el origen personalizado. Si la respuesta contiene un encabezado de servidor sin el valor CloudFront, es posible que el error provenga del origen personalizado.
Para determinar si el error proviene del origen personalizado, compruebe los registros de acceso HTTP de origen.
Si no puede comprobar los registros de acceso HTTP de origen, utilice los siguientes métodos de solución de problemas:
- Consulte los registros de acceso de CloudFront. Si el campo tiempo dedicado para la solicitud bloqueada es significativamente inferior al promedio del campo de tiempo dedicado, es posible que la respuesta no provenga del origen. Un valor bajo en el campo tiempo dedicado indica que se envió una respuesta desde la ubicación periférica.
- Realice la solicitud directamente al origen. Si puede replicar el error sin pasar por CloudFront, es posible que el origen devuelva el error 403.
El error se debe a una URL firmada o a una configuración de cookies firmadas
Si tiene activada la opción de Restringir acceso de espectadores en la configuración de comportamiento de CloudFront, las solicitudes realizadas sin utilizar cookies firmadas ni URL generarán un error 403.
Para obtener más información sobre la configuración de las cookies y las URL firmadas, consulte Servicio de contenido privado con URL firmadas y cookies firmadas.
Para consultar los pasos de solución de problemas, consulte ¿Cómo soluciono los problemas relacionados con una URL firmada o las cookies firmadas en CloudFront?
La política de protocolo de distribución con visor no está configurada para HTTP y HTTPS
Si la solicitud HTTP se envía a una distribución cuya política de Viewer Protocol está configurada únicamente enHTTPS, la solicitud puede devolver un error 403.
Para obtener más información, consulte Solicitar HTTPS para la comunicación entre espectadores y CloudFront.
Contenido relevante
- OFICIAL DE AWSActualizada hace 7 meses
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años