私有API网关403报错

0

【以下的问题经过翻译处理】 我在尝试使用API网关时遇到了一个问题,其中一个账户遇到了403 Forbidden的错误。 VPCE在两个帐户中都有设置。API网关和其中一个VPCE所在的账户可以正常工作,但第二个帐户不能。被禁止的消息仅是“Forbidden”,并没有太多帮助。有什么想法可以解决这个403的问题吗?

这样调用:

curl -v https://vpce-0c868a4b1293a28b5-6gi9t6mm.execute-api.us-east-1.vpce.amazonaws.com/dev -H 'Host: abc123defg.execute-api.us-east-1.amazonaws.com'

资源策略如下(我用任意数字替换了帐户ID和实际API ID):

vpce-078ec1da4e3a0deb3 = 位于API网关所在帐户中的VPCE. vpce-0c868a4b1293a28b5 = 位于次要帐户中的VPCE。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:us-east-1:123456789123:abc123defg/*",
            "Condition": {
                "StringNotEquals": {
                    "aws:sourceVpce": [
                        "vpce-0925a8e90cbab6f12",
                        "vpce-078ec1da4e3a0deb3",
                        "vpce-0c868a4b1293a28b5"
                    ],
                    "aws:SourceIP": [
                        "10.0.0.0/8",
                        "63.237.3.169/32"
                    ],
                    "aws:sourceVpc": "vpc-06f730a7eb116c752"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "arn:aws:execute-api:us-east-1:1234567891323:abc123defg/*"
        }
    ]
}

profile picture
专家
已提问 10 个月前118 查看次数
1 回答
0

【以下的回答经过翻译处理】 除此之外,你可以在此处进一步排查:https://repost.aws/knowledge-center/api-gateway-private-cross-account-vpce, 你可以试着按照https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html中的“关联/取消关联”章节所述的方式调用https://<api-gw-id>-<vpce-url>

profile picture
专家
已回答 10 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则